Co je CAA záznam a jak jej nastavit v DNS?

CAA záznam (Certification Authority Authorization) je záznam v DNS zóně domény, který specifikuje, jaká Certifikační autorita má povoleno vystavit SSL certifikát k doméně. Účelem záznamu CAA je umožnit vlastníkům domény deklarovat, které Certifikační autority mohou vydávat SSL certifikát pro danou doménu.

Od září 2017 jsou všechny veřejné Certifikační autority povinny před vydáním SSL certifikátu kontrolovat u domén CAA záznamy a žádost o SSL certifikát odmítnout, pokud CAA záznam existuje, ale Certifikační autorita zde není uvedena!

Nemá-li doména nastaven žádný CAA záznam, jakákoliv Certifikační autorita může vystavit k doméně SSL certifikát. Pokud je však u domény CAA záznam nastaven, smí vystavit certifikát pouze Certifikační autorita, uvedena v CAA záznamu.

Jak vypadá CAA záznam

CAA záznam je textová informace, která se přidává do doménové zóny (DNS záznamů) a definuje, které Certifikační autority mohou SSL certifikát vystavit.

Ukázka formátu CAA záznamu v DNS:

Název domény	TTL	Typ záznamu	Tag	Hodnota	Poznámka
domain.tld.	1800	IN CAA	issue	"actalis.it"	certifikát může vystavit CA Actalis
domain.tld.	1800	IN CAA	issue	"digicert.com"	certifikát může vystavit CA Digicert, platí také pro certifikáty RapidSSL a GeoTrust
domain.tld.	1800	IN CAA	issue	"letsencrypt.org"	certifikát může vystavit CA Let’s Encrypt

Parametr „issue“ umožňuje vystavení všech druhů SSL certifikátů Certifikační autority.
Parametr „issuewild“ umožňuje povolit vystavení Wildcard certifikátů. Uvedením 0 issuewild „;“ sdělíme, že se na doméně nemají vystavovat žádné Wildcard certifikáty.

Generování CAA záznamu:

Pro generování CAA záznamu je dobré použít některou z on-line služeb jako například nástroj od SSLMate, který nabízí výběr a nastavení většiny používaných Certifikačních autorit. Ve formuláři lze zvolit preferovanou autoritu a zda povolit vydávání WildCard SSL certifikátů. Generátor poté nabídne hotové CAA záznamy pro vložení do DNS.

Populární certifikační autority:

CA Digicert + GeoTrust, RapidSSL
- issue „digicert.com“
Let’s Encrypt
- issue „letsencrypt.org“

Article ID: 4670, Created: 7/3/2025 at 12:52 PM, Modified: 7/4/2025 at 2:24 PM

Co je CAA záznam a jak jej nastavit v DNS?

Jak vypadá CAA záznam

Ukázka formátu CAA záznamu v DNS:

Generování CAA záznamu:

Populární certifikační autority:

Was this article helpful?

Share this article

Translations