CAA-record instellen: bescherm je SSL-certificaat
Gepubliceerd op 19 juni 2026 7 min leestijd
Een CAA-record bepaalt welke certificaatautoriteiten een SSL-certificaat voor je domein mogen uitgeven. Zo stel je het in en controleer je het.
Een CAA-record is een DNS-instelling waarmee je vastlegt welke certificaatautoriteiten (CA's) een SSL-certificaat voor jouw domein mogen uitgeven. Zo voorkom je dat er een verkeerd of frauduleus certificaat voor je domein wordt aangemaakt. In deze uitleg lees je wat een CAA-record precies doet, hoe het is opgebouwd en hoe je er zelf een instelt en controleert.
Wat is een CAA-record?
CAA staat voor Certification Authority Authorization. Het is een apart type DNS-record, in de techniek bekend als type 257, dat is vastgelegd in de internetstandaard RFC 8659. Met een CAA-record vertel je aan certificaatautoriteiten welke partijen wel en niet een TLS- of SSL-certificaat voor je domein mogen aanmaken.
Een certificaatautoriteit, kortweg CA, is de organisatie die SSL-certificaten uitgeeft. Bekende voorbeelden zijn Let's Encrypt, Sectigo en DigiCert. Zonder CAA-record mag elke publiek vertrouwde CA een certificaat voor je domein uitgeven. Met een CAA-record beperk je dat tot de CA's die jij expliciet toestaat.
Waarom zou je een CAA-record instellen?
Het doel van een CAA-record is het voorkomen van verkeerd uitgegeven certificaten. Probeert iemand bij een willekeurige CA een certificaat voor jouw domein aan te vragen, dan controleert die CA eerst je CAA-record. Staat de CA er niet in, dan weigert hij de aanvraag.
Sinds 8 september 2017 is deze controle verplicht. Het CA/Browser Forum, het samenwerkingsverband van certificaatautoriteiten en browsermakers, schrijft in zijn Baseline Requirements voor dat elke publiek vertrouwde CA het CAA-record moet raadplegen voordat hij een certificaat uitgeeft. Gebruik je een gratis CA zoals Let's Encrypt, dan houdt die zich daar ook aan.
Een CAA-record instellen is niet verplicht, maar het is een eenvoudige extra beveiligingslaag voor je domein.
Hoe ziet een CAA-record eruit?
Elk CAA-record bestaat uit drie delen: een vlag (flag), een tag en een waarde (value). Een voorbeeld:
example.nl. CAA 0 issue "letsencrypt.org"
In dit voorbeeld is 0 de vlag, issue de tag en letsencrypt.org de waarde. Hieronder lees je wat elk deel betekent.
De vlag
De vlag is een getal tussen 0 en 255. In bijna alle gevallen gebruik je 0. De waarde 128 zet de zogenoemde critical-vlag aan: als een CA de tag dan niet herkent, moet hij de aanvraag weigeren. Voor de standaardtags hieronder laat je de vlag gewoon op 0 staan.
De tag
De tag bepaalt wat het record regelt. Er zijn drie tags:
| Tag | Betekenis |
|---|---|
| issue | Geeft een CA toestemming om certificaten voor het domein uit te geven. |
| issuewild | Hetzelfde als issue, maar voor wildcardcertificaten zoals *.example.nl. Staat er minstens een issuewild-record, dan gaat dit voor wildcards boven issue. |
| iodef | Een adres (mailto: of https://) waar een CA meldingen naartoe stuurt over aanvragen die niet zijn toegestaan. |
De waarde
Bij de tags issue en issuewild is de waarde de identificatienaam van de CA, bijvoorbeeld letsencrypt.org. Een lege waarde, geschreven als een puntkomma, betekent dat geen enkele CA een certificaat mag uitgeven:
example.nl. CAA 0 issue ";"
Wil je meerdere CA's toestaan, dan zet je voor elke CA een apart issue-record neer:
example.nl. CAA 0 issue "letsencrypt.org"
example.nl. CAA 0 issue "sectigo.com"
Veelgebruikte CA-namen
Dit zijn de waarden van een aantal bekende certificaatautoriteiten. Controleer altijd de documentatie van je eigen CA, want sommige CA's gebruiken meerdere namen.
| Certificaatautoriteit | Waarde in het record |
|---|---|
| Let's Encrypt | letsencrypt.org |
| DigiCert | digicert.com |
| Sectigo | sectigo.com |
| GlobalSign | globalsign.com |
| Google Trust Services | pki.goog |
| Amazon | amazon.com |
Een CAA-record toevoegen
Net als een A-record of TXT-record voeg je een CAA-record toe in het DNS-beheer van je domein. Bij LJPc hosting doe je dat in de DNS-instellingen van je zone, met velden voor de naam, de vlag, de tag, de waarde en de TTL.
- Open het DNS-beheer van je domein en kies ervoor om een nieuw record toe te voegen.
- Kies als type CAA.
- Vul bij de naam het domein of subdomein in. Voor het hele domein gebruik je meestal @ of de domeinnaam zelf.
- Zet de vlag op 0.
- Kies de tag issue voor gewone certificaten, issuewild voor wildcardcertificaten of iodef voor meldingen.
- Vul de waarde in, bijvoorbeeld letsencrypt.org.
- Laat de TTL op de standaardwaarde staan, vaak 3600 seconden, en sla het record op.
Belangrijk: voeg altijd de CA toe die je zelf gebruikt. Vergeet je dat, dan mislukt het aanmaken of vernieuwen van je certificaat.
Subdomeinen, wildcards en hoe CA's het record vinden
Een CA zoekt het CAA-record door de domeinnaam van onder naar boven af te lopen. Eerst kijkt hij naar de exacte naam, bijvoorbeeld www.example.nl. Vindt hij daar geen CAA-record, dan probeert hij example.nl, en zo verder omhoog tot net onder de root. De eerste set records die hij tegenkomt, telt.
Hierdoor geldt een CAA-record op je hoofddomein automatisch ook voor alle subdomeinen. Wil je voor een subdomein een andere CA toestaan, dan zet je op dat subdomein een eigen CAA-record. Dat eigen record vervangt voor die naam de regels van het hoofddomein.
Voor wildcardcertificaten, zoals *.example.nl, is er een aparte tag: issuewild. Staat er minstens één issuewild-record, dan geldt dat voor wildcards en wordt de gewone issue-tag voor wildcards genegeerd. Is er geen issuewild, dan bepaalt de issue-tag ook of wildcards mogen. Met issuewild ";" verbied je wildcardcertificaten helemaal.
Je CAA-record controleren
Nadat je een CAA-record hebt opgeslagen, kun je controleren of het goed staat. Op macOS en Linux gebruik je het commando dig:
dig CAA example.nl +short
Op Windows gebruik je nslookup:
nslookup -type=CAA example.nl
Er zijn ook online CAA-checkers waarmee je hetzelfde controleert zonder de opdrachtregel te gebruiken.
Veelvoorkomende problemen
Loop je tegen een probleem aan? Deze tabel helpt je op weg.
| Probleem | Oorzaak | Oplossing |
|---|---|---|
| Certificaat kan niet worden aangemaakt of vernieuwd | Je CAA-record staat de gebruikte CA niet toe | Voeg de juiste CA toe met een issue-tag, bijvoorbeeld letsencrypt.org |
| Wildcardcertificaat wordt geweigerd | Er staat een issuewild-record dat de CA niet noemt | Pas de issuewild-tag aan of voeg de juiste CA toe |
| Een wijziging werkt niet meteen | De oude waarde staat nog in de cache (TTL) | Wacht tot de TTL verlopen is, soms tot 24 of 48 uur |
| De CA kan het record niet lezen | Een DNS- of DNSSEC-fout (SERVFAIL) | Controleer je zone en je DNSSEC-instellingen |
CAA in verhouding tot DNSSEC en DANE
Een CAA-record beschermt het moment van uitgifte: het bepaalt wie een certificaat mag aanmaken. Het controleert niet de verbinding zelf en houdt geen CA tegen die zich niet aan de regels houdt. Het is dus een waardevolle, maar geen waterdichte maatregel.
Je kunt CAA combineren met andere technieken. Met DNSSEC onderteken je je DNS-gegevens, zodat een CA erop kan vertrouwen dat je CAA-record onderweg niet is aangepast. DANE gaat een stap verder en laat bezoekers bij het opzetten van de verbinding controleren of het certificaat klopt. Waar CAA bij de uitgifte werkt, werkt DANE bij de verbinding.
Met een CAA-record houd je zelf in de hand wie certificaten voor je domein mag uitgeven. Kom je er niet uit? Neem dan contact op met onze support, we helpen je graag verder.
Veelgestelde vragen
Is een CAA-record verplicht?
Nee, een CAA-record instellen is niet verplicht. Het is wel aan te raden, omdat je er extra grip mee krijgt op wie certificaten voor je domein mag uitgeven. Heb je geen CAA-record, dan mag elke publiek vertrouwde CA een certificaat aanmaken.
Wat gebeurt er als ik geen CAA-record heb?
Zonder CAA-record mag elke publiek vertrouwde certificaatautoriteit een certificaat voor je domein uitgeven. Met een CAA-record beperk je dat tot de CA's die je zelf hebt opgegeven, en moeten alle andere CA's een aanvraag weigeren.
Blokkeert een CAA-record een aanvaller volledig?
Nee. Een CAA-record wordt alleen bij de uitgifte gecontroleerd door CA's die zich aan de regels houden. Het stopt geen CA die de regels negeert en het maakt een al gestolen certificaat niet ongeldig. Het verkleint vooral de kans op verkeerd uitgegeven certificaten door vertrouwde CA's.
Geldt een CAA-record ook voor mijn subdomeinen?
Ja. Een CA loopt de naam van onder naar boven af en gebruikt het eerste CAA-record dat hij vindt. Daardoor geldt een record op je hoofddomein ook voor subdomeinen, tenzij een subdomein een eigen CAA-record heeft. Dat eigen record telt dan voor die naam.
Hoe lang duurt het voordat een CAA-record actief is?
Een nieuw of gewijzigd CAA-record is actief zodra de DNS-wijziging is doorgevoerd. Hoelang dat duurt, hangt af van de TTL van het record. Reken in de praktijk op enkele minuten tot uiterlijk 24 of 48 uur.
Welke waarde gebruik ik voor Let's Encrypt?
Voor Let's Encrypt gebruik je de waarde letsencrypt.org. Een volledig record ziet er dan zo uit: 0 issue "letsencrypt.org". Wil je ook wildcardcertificaten via Let's Encrypt toestaan, voeg dan een issuewild-record met dezelfde waarde toe.