CAA (Certification Authority Authorization) — запись, которая определяет, каким центрам сертификации разрешено выпускать SSL-сертификаты для определённого домена или поддомена.
Запись добавляется в настройках домена и её данные состоят из трёх параметров, разделённых пробелами:
flag tag value
Параметры:
flag
— 8-битное число, старший бит которого определяет, насколько критично центр сертификации относится к записи. Возможные значения:0
— если центр сертификации не поддерживает параметр tag
или не может его распознать, ему разрешено выпускать сертификат на своё усмотрение.128
— если центр сертификации не поддерживает параметр tag
или не может его распознать, ему запрещено выпускать сертификат.tag
— возможные значения:issue
— определяет центр сертификации, которому разрешено выпускать сертификат.issuewild
— определяет центр сертификации, которому разрешено выпускать wildcard-сертификат.iodef
— определяет адрес электронной почты или URL, который центр сертификации должен использовать для уведомлений, если поступит запрос на выпуск сертификата с нарушением правил, определенных CAA-записью.value
— зависит от значения tag
и обязательно должно быть в двойных кавычках (""
). Если дополнительных параметров несколько, они должны разделяться точкой с запятой (;
). Возможные значения:tag
равно issue
, то в качестве value
указывается:";"
, если нужно запретить выпускать сертификат всем центрам сертификации.tag
равно issuewild
, то возможные значения для value
те же, что и при tag
равно issue
, только в этом случае для wildcard-сертификата.tag
равно iodef
, то в качестве value
указывается:"mailto:admin@example.com"
."http(s)://URL"
.Для удобства при создании записи можно воспользоваться онлайн-генераторами:
Пример настроек домена с добавленными записями CAA: