Hulpartikel overzicht

Hulpartikel

Een CAA-record instellen

In dit artikel leggen we uit hoe je een CAA-record instelt binnen de DNS instellingen van je domeinnaam.

Een CAA-record is een DNS-record dat bedoeld is om aan te geven welke Certificate Authority (CA) een SSL certificaat mag uitgeven voor het betreffende (sub)domein. Bekende Certificate Authorities zijn onder meer Sectigo (voorheen Comodo) en Let's Encrypt.

Als je een CAA-record voor je root domein instelt, zal het record ook voor alle subdomeinen eronder gelden, tenzij je een apart CAA-record instelt voor een specifiek subdomein.

In het CAA-record geef je verder aan welke type SSL-certificaten de CA mag uitgeven. Dit kan zowel een Wildcard SSL-certificaat zijn als een SSL-certificaat voor het root domein of een subdomein.

Wanneer er geen CAA-record in je DNS-instellingen aanwezig is, dan zal iedere CA een SSL-certificaat mogen uitgeven voor het domein. Als er één of meerdere CAA-records in je DNS-instellingen aanwezig zijn, dan mogen alleen de CA's in deze CAA-records een SSL-certificaat voor het domein uitgeven.

Let op dat voor elke aparte CA die je wil instellen een eigen CAA regel nodig is. Het is niet mogelijk om meerdere CA's in één regel te definiëren.


Waar voeg ik een CAA-record toe?

DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Ga hier naar het tabblad 'Domein & Hosting' en klik in de linkerkolom op het domein waar je het CAA-record voor wilt instellen (niet aanvinken).

Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar om achter 'TransIP instellingen'. Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen.

Voorbeeld van een CAA-record


Hoe stel ik een CAA-record in?

Een CAA-record bestaat uit een flag, een tag en een value. De tag en de value vormen bij elkaar de property.

Een flag wordt gebruikt om aan te geven hoe belangrijk of 'critical' een property is en wordt gekenmerkt door een of een 128. In de bovenstaande afbeelding zie je een voorbeeld van een volledig CAA record.


Naam

Een CAA-record stel je in door met de naam te beginnen. Hier geef je op voor welk deel van het domein het DNS-record moet werken. Een CAA-record kun je instellen voor zowel je hoofddomein (het root domein) als een subdomein.

  • Wil je een CAA-record voor het root domein instellen, dan vul je een @ in het 'Naam'-veld in.
  • Wil je een CAA-record voor een subdomein instellen, dan vul je alleen het subdomein in het 'Naam'-veld in.
    • Onze DNS-software voegt dan het root domein automatisch op de achtergrond aan het subdomein toe.

Hieronder zie je een voorbeeld van een CAA-record voor het subdomein voorbeeld.domeinnaam.nl, waarin we de Certificate Authority Let's Encrypt toestemming geven om een SSL-certificaat uit te geven voor het subdomein.

CAA record voor subdomein


TTL

De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 5 minuten.


Type

Omdat je een CAA-record wilt instellen, kies je onder 'Type' voor 'CAA'.


Waarde

In de waarde van het CAA-record vul je opeenvolgend de flag, de tag en de value in. In het onderstaande voorbeeld zie je de flag (0), de tag (issue) en de value ("letsencrypt.org") terug.

Voorbeeld van een CAA-record

We leggen nu uit wat de verschillende elementen van een CAA-record inhouden en hoe je deze toepast.


Flags

Je kunt als flag een getal tussen 0 en 255 invoeren. Voor nu worden alleen de getallen 0 en 128 actief door CAA-records gebruikt. Hierbij is 0 non-critical en 128 critical.

Een critical flag (128) is alleen nodig als er een custom tag wordt gebruikt. Omdat voor de huidige opzet van CAA-records alleen de bestaande tags 'issue', 'issuewild' en 'iodef' worden gebruikt, voldoet het om als flag een 0 op te geven.


Tags & Values

Zoals vermeld worden op dit moment de tags 'issue', 'issuewild' en 'iodef' door CAA-records ondersteund.


De issue tag

Met de issue tag geef je aan welke CA toestemming heeft om een SSL-certificaat voor het domein uit te geven. Dit doe je door issue als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

In het onderstaande voorbeeld geven we Let's Encrypt toestemming om certificaten voor het root domein (en hiermee ook de subdomeinen) uit te geven.

Voorbeeld van een CAA-record met de tag issue

Je kunt met een CAA-record ook aangeven dat Certificate Authorities geen toestemming hebben om certificaten voor het domein af te geven. Dit doe je door issue als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

geen toestemming om een certificaat uit te geven


De issuewild tag

Door het gebruik van de issuewild tag geef je een CA toestemming om een Wildcard SSL-certificaat voor het domein uit te geven. Dit type SSL-certificaat geldt voor alle subdomeinen onder je hoofddomein, behalve voor subdomeinen die al beschikken over een apart SSL-certificaat. Dit doe je door issuewild als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

In het onderstaande voorbeeld geven we Sectigo toestemming om Wildcard certificaten uit te geven voor het hoofddomein.

Voorbeeld van een CAA record met de tag issuewild

Net als met de issue tag, kun je met behulp van een puntkomma ook voor issuewild een CA toestemming ontzeggen om certificaten namens het domein uit te geven. Dit doe je door issuewild als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

Geen toestemming om een wildcard certificaat uit te geven


De iodef tag

De derde tag die je kunt gebruiken voor CAA-records is de iodef tag. Deze tag geeft de mogelijkheid om een e-mailadres in te stellen. Een CA zal dan een melding sturen naar dit e-mailadres wanneer er een SSL-certificaat wordt aangevraagd bij een CA die niet vermeld is in het record. Dit doe je door iodef als 'Tag' op te geven en mailto:email@adres.nl in aanhalingstekens als de 'Value'.

Hieronder zie je een voorbeeld van een CAA-record die de iodef tag gebruikt.

Voorbeeld van een CAA record met de tag iodef

  • Niet elke CA ondersteunt elke 'Tag' en 'Value', het is dus raadzaam om na te gaan bij jouw CA welke je kunt gebruiken.

 

  • Voor elke 'Tag' die je wil gebruiken dien je een apart CAA-record aan te maken. Je kunt niet meerdere tags toevoegen aan dezelfde regel.


In dit artikel hebben we uitgelegd hoe je CAA-records in je controlepaneel instelt. Voor een algemene uitleg over DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'.

Voor meer informatie over het gebruik van CAA-records, raden we je aan om de RFC hierover te lezen. 

Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

0
thaillie 9 februari 2023 (#9508)

De informatie die jullie hebben staan in de support artikelen over de CAA issues critical flag klopt niet. Volgens de RFC (Origineel 6844 en nieuwe 8659) zijn op dit moment de mogelijke waardes 0 voor niet critical en 128 voor critical: https://www.rfc-editor.org/rfc/rfc8659#name-critical-flag

In beide RFC's is dit het zelfde, zouden jullie dit kunnen corrigeren in de artikelen en misschien ook in de DNS record validatie mocht het daar gecheckt worden? Kan het zelf niet meer checken, heb geen domeinen meer bij jullie :p

0
Pieter de Ruiter Admin 1 december 2021 (#6967)

@rlcarper, Deze informatie is doorgeleid naar onze technici. We kunnen nog steeds geen garantie bieden, maar zodra meer bekend is zal dit artikel hierop aangepast worden.

0
rlcarper 1 december 2021 (#6961)

@Pieter de Ruiter, Contact e-mail staat inderdaad niet in RFC6844, maar staat wel in de Baseline Requirements van het CA Browser forum https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.8.0.pdf Deze baseline is relevant voor alle CA's die certificaten uitgeven public trusted use. Het zou goed zijn als TransIP hier spoedig support voor heeft in het Controle Paneel.

Het lijkt erop dat CAA contact property op 25 december 2018 is geadopteerd en effectief onderdeel werd van de baseline op 1 februari 2019.

0
Pieter de Ruiter Admin 29 november 2021 (#6934)

@rlcarper, De contactemail tag is géén onderdeel van de standaard, zie hiervoor de RFC: https://datatracker.ietf.org/doc/html/rfc6844.html

Desalniettemin onderzoeken we momenteel wel de mogelijkheden om de tag te ondersteunen, maar we kunnen geen garanties geven op of en wanneer dit zal gebeuren.

0
rlcarper 25 november 2021 (#6907)

De opgegeven CAA tag mag alleen een lower case reeks van US-ASCII letters en nummers bevatten. De volgende tags zijn toegestaan: issue, issuewild, iodef.

Maar in de standaard en dat is wat CA's tegenwoordig vragen is een "contactemail" tag:

example.com. CAA 0 contactemail "admin@entrustcertlab.com"

TransIP Controlpanel ondersteunt dit niet. Wellicht spoedig inbouwen?

0
Nick Brouwer Admin 29 maart 2018 (#1036)

@arnofleming

Bedankt voor de oplettendheid! Het artikel is hier meteen op aangepast ;-)

1
arnofleming 28 maart 2018 (#1034)

Mocht je letsencrypt willen gebruiken in je CAA-record, het identifying domain name is letsencrypt.org (en niet letsencrypt.com zoals in de screenshots). Meer info vind je in hun docs.

@admin / @moderator voel je vrij deze reactie te verwijderen indien jullie de content aanpassen :)

0
olandese 24 maart 2018 (#1006)

Kunnen jullie ook een voorbeeld maken voor een subdomain?

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op