Hoe stel je een CAA-record in?
In dit artikel leer je hoe je een CAA-record aanmaakt in de DNS-instellingen van je domeinnaam. Een CAA-record bepaalt welke Certificate Authority (CA) een SSL-certificaat mag uitgeven voor een specifiek (sub)domein.
Wat is een CAA-record?
Een CAA-record is een speciaal DNS-record dat aangeeft welke CA's bevoegd zijn om SSL-certificaten voor je domein uit te geven. Bekende CA's zijn bijvoorbeeld Let's Encrypt en Sectigo. Als er geen CAA-record is ingesteld, kunnen alle CA's een certificaat uitgeven. Stel je echter één of meerdere CAA-records in, dan worden alleen de in het record genoemde CA's geautoriseerd.
Je kunt CAA-records toepassen op het hoofddomein of op specifieke subdomeinen. Standaard geldt een CAA-record voor het hoofddomein en alle subdomeinen, tenzij je een uitzondering maakt door een apart record voor een subdomein aan te maken.
Waarom zou je een CAA-record gebruiken?
Met een CAA-record bescherm je je domein tegen ongewenste of onbevoegde uitgifte van SSL-certificaten. Dit verhoogt de veiligheid van je website en helpt bij het waarborgen van de controle over je domein.
Waar voeg je een CAA-record toe?
Je kunt een CAA-record eenvoudig instellen via het controlepaneel van URL.nl.
- Ga naar het controlepaneel en klik op 'Domein' in het menu.
- Selecteer het domein waarvoor je een CAA-record wilt instellen.
- Open het gedeelte 'Geavanceerd Domeinbeheer' en klik op 'DNS'.
- Als 'URL.nl instellingen' nog niet actief is, schakel deze dan in. Je ziet nu een overzicht van je DNS-records.
Hier kun je nieuwe records toevoegen of bestaande aanpassen.
Hoe stel je een CAA-record samen?
Een CAA-record bestaat uit drie onderdelen:
- Naam: Hier geef je aan voor welk deel van je domein het record geldt (bijvoorbeeld het root domein of een subdomein).
- Type: Kies 'CAA' als recordtype.
- Waarde: Dit bevat een combinatie van een flag, een tag en een waarde.
Flags
De flag geeft aan of een property 'critical' is (waarde 128) of niet (waarde 0). Voor standaard CAA-records gebruik je meestal 0.
Tags en waarden
Er zijn drie veelgebruikte tags:
- issue: Specificeert welke CA certificaten mag uitgeven.
- issuewild: Geeft aan welke CA's wildcard-certificaten mogen uitgeven.
- iodef: Biedt een contactmethode (zoals een e-mailadres) waar meldingen naartoe gestuurd worden als er een ongeautoriseerde certificaataanvraag wordt gedaan.
Voorbeelden van een CAA-record
Voor een standaard SSL-certificaat
Een record voor Let's Encrypt:
- Naam:
@(voor het root domein) - Type:
CAA - Waarde:
0 issue "letsencrypt.org"
Voor een wildcard SSL-certificaat
Een record voor Sectigo:
- Naam:
@ - Type:
CAA - Waarde:
0 issuewild "sectigo.com"
Voor een meldingssysteem
Een record dat meldingen stuurt naar een e-mailadres:
- Naam:
@ - Type:
CAA - Waarde:
0 iodef "mailto:email@voorbeeld.nl"
Extra tips
- Voor elke CA die je wilt autoriseren, maak je een aparte regel aan.
- Houd de TTL (Time To Live) laag, bijvoorbeeld 300 seconden, zodat wijzigingen snel worden verwerkt.
Hulp nodig?
Als je vragen hebt over het instellen van een CAA-record of als je ondersteuning nodig hebt, kun je contact opnemen met het supportteam van URL.nl. Klik op de knop ‘Neem contact op’ onderaan deze pagina.