O
CAA, ou
Certificate Authority Authorization, é um registo DNS que foi recentemente introduzido e que vem permitir a um titular de domínio restringir que CA (Certificate Authorities) podem emitir certificados para um determinado domínio.
De acordo com o CAB Forum, as Certificate Authorities têm agora que validar os registos CAA e seguir os procedimentos definidos no RFC 6844 quando emitirem os certificados.
A não existência de um registo CAA associado a um domínio significa que qualquer CA pode emitir um certificado para esse domínio. Para permitir múltiplas Certificate Authorities a emitirem certificados para o seu domínio, bastará que configure múltiplos registos CAA.
Abaixo segue um exemplo de um registo CAA:
| Nome |
Tipo |
Valor |
| webtuga.pt. |
CAA |
0 issue "sectigo.com" |
Este registo permite que a Comodo emita certificados para o domínio "webtuga.pt". Existem no entanto outras configurações que podem ser feitas para este registo, podendo utilizar esta ferramenta para gerar um registo CAA:
https://sslmate.com/caa/
