Certification Authority Authorization (CAA)
Certification Authority Authorization (CAA) is een standaard voor het veiliger maken van uitgifte van digitale certificaten. Met CAA geeft de domeineigenaar aan welke Certificate Authority (CA) certificaten uit mag geven voor diens domeinen. CA’s zijn verplicht om bij uitgifte van een certificaat het CAA-record van het betreffende domein te controleren om zo frauduleuze aanvragen te beperken.
De afgelopen jaren zijn er meerdere incidenten geweest waarbij ongeautoriseerde partijen certificaten konden aanvragen en verkrijgen voor andermans domeinen. Het gebruik van CAA verkleint de kans dat zo’n partij een certificaat kan aanvragen voor domeinen van bijvoorbeeld overheidsinstellingen.
Hoe voldoe je aan deze eis?
CAA is een DNS-record waarmee de domeineigenaar aangeeft welke CA certificaten uit mag geven. Dit kunnen er meerdere zijn en kan per subdomein verschillen. Het beleid voor wildcard certificaten kan apart worden ingesteld. Ook biedt CAA de mogelijkheid om domeineigenaren in te lichten bij ongewenste aanvragen.
DPC regelt dit voor domeinen van websites op het Platform Rijksoverheid Online (PRO).
Is dit verplicht?
Nee, dit is niet verplicht. CAA staat op de lijst aanbevolen standaarden (de ‘Pas toe of leg uit’-lijst) van het Forum Standaardisatie.
Meer informatie
Meer informatie over CAA vind je bij Forum Standaardisatie.