3.1.5.7. CAA

CAA (Certification Authority Authorization) — запис, який визначає, яким центрам сертифікації дозволено випускати SSL-сертифікати для певного домену або піддомену.

Запис додається в налаштуваннях домену, і його дані складаються з трьох параметрів, розділених пробілами:

flag tag value

Параметри:

• flag — 8-бітне число, старший біт якого визначає, наскільки критично центр сертифікації ставиться до запису. Можливі значення:
  • 0 — якщо центр сертифікації не підтримує параметр tag або не може його розпізнати, йому дозволено видавати сертифікат на свій розсуд.
  • 128 — якщо центр сертифікації не підтримує параметр tag або не може його розпізнати, йому заборонено видавати сертифікат.
• tag — можливі значення:
  • issue — визначає центр сертифікації, якому дозволено видавати сертифікат.
  • issuewild — визначає центр сертифікації, якому дозволено випускати wildcard-сертифікат.
  • iodef — визначає адресу електронної пошти або URL, яку центр сертифікації повинен використовувати для повідомлень, якщо надійде запит на випуск сертифіката з порушенням правил, визначених CAA-записом.
• value — залежить від значенняtag і обов'язково має бути в подвійних лапках (""). Якщо додаткових параметрів декілька, вони повинні розділятися крапкою з комою (;). Можливі значення:
  • Якщо tag дорівнює issue, то в якості value вказується:
    • Або домен центру сертифікації, якому дозволено видавати сертифікат.
    • Або ";", якщо потрібно заборонити видавати сертифікат усім центрам сертифікації.
  • Якщо tag дорівнює issuewild, то можливі значення для value ті ж, що і при tag дорівнює issue, тільки в цьому випадку для wildcard-сертифіката.
  • Якщо tag дорівнює iodef, то в якості value вказується:
    • Або адреса електронної пошти у форматі "mailto:admin@example.com".
    • Або URL у форматі "http(s)://URL".

Для зручності при створенні запису можна скористатися онлайн-генераторами:

• Zilore | CAA Record Generator
• SSLMate | CAA Record Helper

Як виглядають записи CAA в налаштуваннях домену: