Winkelwagen

/ VPS-Infrastructuur

Alles over de zelfontwikkelde VPS-infrastructuur

Register now

/ Up to date

/ Nieuws

Lancering PerformanceVPS

Meer info
Hulp nodig?

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    Een CAA-record instellen

    In dit artikel leggen we uit hoe je een CAA-record instelt binnen de DNS instellingen van je domeinnaam.

    Een CAA-record is een DNS-record dat bedoeld is om aan te geven welke Certificate Authority (CA) een SSL certificaat mag uitgeven voor het betreffende (sub)domein. Bekende Certificate Authorities zijn onder meer Sectigo (voorheen Comodo) en Let's Encrypt.

    Als je een CAA-record voor je root domein instelt, zal het record ook voor alle subdomeinen eronder gelden, tenzij je een apart CAA-record instelt voor een specifiek subdomein.

    In het CAA-record geef je verder aan welke type SSL-certificaten de CA mag uitgeven. Dit kan zowel een Wildcard SSL-certificaat zijn als een SSL-certificaat voor het root domein of een subdomein.

    Wanneer er geen CAA-record in je DNS-instellingen aanwezig is, dan zal iedere CA een SSL-certificaat mogen uitgeven voor het domein. Als er één of meerdere CAA-records in je DNS-instellingen aanwezig zijn, dan mogen alleen de CA's in deze CAA-records een SSL-certificaat voor het domein uitgeven.

    Let op dat voor elke aparte CA die je wil instellen een eigen CAA regel nodig is. Het is niet mogelijk om meerdere CA's in één regel te definiëren.


    Waar voeg ik een CAA-record toe?

    DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Klik in het linkermenu op 'Domein' en klik vervolgens in de linkerkolom op het domein waar je het CAA-record voor wilt instellen (niet aanvinken).

    Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar om achter 'TransIP instellingen'. Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen.

    Voorbeeld van een CAA-record


    Hoe stel ik een CAA-record in?

    Een CAA-record bestaat uit een flag, een tag en een value. De tag en de value vormen bij elkaar de property.

    Een flag wordt gebruikt om aan te geven hoe belangrijk of 'critical' een property is en wordt gekenmerkt door een of een 128. In de bovenstaande afbeelding zie je een voorbeeld van een volledig CAA record.


    Naam

    Een CAA-record stel je in door met de naam te beginnen. Hier geef je op voor welk deel van het domein het DNS-record moet werken. Een CAA-record kun je instellen voor zowel je hoofddomein (het root domein) als een subdomein.

    • Wil je een CAA-record voor het root domein instellen, dan vul je een @ in het 'Naam'-veld in.
    • Wil je een CAA-record voor een subdomein instellen, dan vul je alleen het subdomein in het 'Naam'-veld in.
      • Onze DNS-software voegt dan het root domein automatisch op de achtergrond aan het subdomein toe.

    Hieronder zie je een voorbeeld van een CAA-record voor het subdomein voorbeeld.domeinnaam.nl, waarin we de Certificate Authority Let's Encrypt toestemming geven om een SSL-certificaat uit te geven voor het subdomein.

    CAA record voor subdomein


    TTL

    De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 5 minuten.


    Type

    Omdat je een CAA-record wilt instellen, kies je onder 'Type' voor 'CAA'.


    Waarde

    In de waarde van het CAA-record vul je opeenvolgend de flag, de tag en de value in. In het onderstaande voorbeeld zie je de flag (0), de tag (issue) en de value ("letsencrypt.org") terug.

    Voorbeeld van een CAA-record

    We leggen nu uit wat de verschillende elementen van een CAA-record inhouden en hoe je deze toepast.


    Flags

    Je kunt als flag een getal tussen 0 en 255 invoeren. Voor nu worden alleen de getallen 0 en 128 door CAA-records gebruikt. Hierbij is 0 non-critical en 128 critical.

    Een critical flag (128) is alleen nodig als er een custom tag wordt gebruikt. Omdat voor de huidige opzet van CAA-records alleen de bestaande tags 'issue', 'issuewild' en 'iodef' worden gebruikt, voldoet het om als flag een 0 op te geven.


    Tags & Values

    Zoals vermeld worden op dit moment de tags 'issue', 'issuewild' en 'iodef' door CAA-records ondersteund.


    De issue tag

    Met de issue tag geef je aan welke CA toestemming heeft om een SSL-certificaat voor het domein uit te geven. Dit doe je door issue als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

    In het onderstaande voorbeeld geven we Let's Encrypt toestemming om certificaten voor het root domein (en hiermee ook de subdomeinen) uit te geven.

    Voorbeeld van een CAA-record met de tag issue

    Je kunt met een CAA-record ook aangeven dat Certificate Authorities geen toestemming hebben om certificaten voor het domein af te geven. Dit doe je door issue als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

    geen toestemming om een certificaat uit te geven


    De issuewild tag

    Door het gebruik van de issuewild tag geef je een CA toestemming om een Wildcard SSL-certificaat voor het domein uit te geven. Dit type SSL-certificaat geldt voor alle subdomeinen onder je hoofddomein, behalve voor subdomeinen die al beschikken over een apart SSL-certificaat. Dit doe je door issuewild als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

    In het onderstaande voorbeeld geven we Sectigo toestemming om Wildcard certificaten uit te geven voor het hoofddomein.

    Voorbeeld van een CAA record met de tag issuewild

    Net als met de issue tag, kun je met behulp van een puntkomma ook voor issuewild een CA toestemming ontzeggen om certificaten namens het domein uit te geven. Dit doe je door issuewild als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

    Geen toestemming om een wildcard certificaat uit te geven


    De iodef tag

    De derde tag die je kunt gebruiken voor CAA-records is de iodef tag. Deze tag geeft de mogelijkheid om een e-mailadres in te stellen. Een CA zal dan een melding sturen naar dit e-mailadres wanneer er een SSL-certificaat wordt aangevraagd bij een CA die niet vermeld is in het record. Dit doe je door iodef als 'Tag' op te geven en mailto:email@adres.nl in aanhalingstekens als de 'Value'.

    Hieronder zie je een voorbeeld van een CAA-record die de iodef tag gebruikt.

    Voorbeeld van een CAA record met de tag iodef

    • Niet elke CA ondersteunt elke 'Tag' en 'Value', het is dus raadzaam om na te gaan bij jouw CA welke je kunt gebruiken.
    • Voor elke 'Tag' die je wil gebruiken dien je een apart CAA-record aan te maken. Je kunt niet meerdere tags toevoegen aan dezelfde regel.

    In dit artikel hebben we uitgelegd hoe je CAA-records in je controlepaneel instelt. Voor een algemene uitleg over DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'.

    Voor meer informatie over het gebruik van CAA-records, raden we je aan om de RFC hierover te lezen. 

    Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op