Che cos'è un record CAA?

Un record DNS di tipo CAA ( Certification Authority Authorization ) serve a specificare le Certification Authority (CA) autorizzate a emettere certificati per un determinato dominio.

Lo scopo del record CAA è consentire ai titolari di un dominio di dichiarare quali Certification Authority sono autorizzate a rilasciare un certificato per il proprio dominio.
Se non è presente alcun record CAA, qualsiasi CA è autorizzata a emettere un certificato per il dominio.
Se è presente un record CAA, solo le CA elencate nei record possono rilasciare certificati per tale dominio.

I record CAA possono impostare i criteri per l'intero dominio o per sottodomini specifici.
Anche i record CAA vengono ereditati dai sottodomini, pertanto un record CAA impostato su miodominio.com verrà applicato anche a qualsiasi sottodominio, ad esempio sottodominio.miodominio.com.
I record CAA possono controllare i certificati SSL singoli, i certificati SSL wildcard oppure entrambi.

Le specifiche di formato ed utilizzo del record CAA sono riportate in RFC 6844 . 

Formato record CAA

Il record CAA è rappresentato dai seguenti elementi:

• flag - Un numero positivo intero compreso tra 0 e 255.
  
  
• tag - Una stringa ASCII che rappresenta l'identificatore della proprietà rappresentata dal record.
  
  
• value - Il valore associato al tag.

È possibile associare più proprietà allo stesso nome di dominio pubblicando più record CAA per quel determinato nome di dominio.

La rappresentazione canonica è:

CAA <flags> <tag> <value>

Attualmente la RFC definisce 3 possibili tag:

• issue - autorizza un'unica C.A. ad emettere un certificato SSL (di qualsiasi tipo) per il dominio o sottodominio specificati.
  
  
• issuewild - autorizza un'unica C.A. ad emettere un certificato SSL wildcard (ed esclusivamente wildcard) per il dominio o sottodominio specificati.
  
  
• iodef - specifica un URL a cui una C.A. può segnalare eventuali abusi.