Certificate Authority Authorization

В 2013 году появился черновик стандарта RFC6844, который был призван улучшить безопасность выдаваемых SSL сертификатов с помощью DNS записей. Это предлагается делать с помощью специальных ресурсных записей Certificate Authority Authorization (CAA).

В них перечисляется список доверенных центров сертификации, которым позволено выдавать сертификаты на домен.

Т.е. если в домене установлена запись типа:

example.com. IN CAA 128 issue 'letsencrypt.org'

то никто, кроме letsencrypt.org не в праве выдавать сертификаты на этот домен.

Есть еще расширение issuewild, которое говорит о том, кому разрешено выдавать wildcard сертификаты.

На данный момент не многие центры сертификации поддерживают эти записи, но дело все таки движется.

Из DNS серверов эти записи поддерживают многие, но в различных форматах. Bind9, например, поддерживает стандартную запись, которая указана выше, только с версии 9.9.6. Все версии до этого поддерживают только TYPE257.

Но не стоит сильно заморачиваться, давно существует генератор записей. Идет на сайт, тыкаем галочки и получаем готовые строки для вашей версии.