CAA DNS-records instellen in DirectAdmin | Handleiding met Let’s Encrypt
Een CAA DNS-record (Certification Authority Authorization) bepaalt welke certificaatautoriteiten (CA’s) een SSL/TLS-certificaat mogen uitgeven voor jouw domeinnaam. Door CAA-records toe te voegen aan je DNS-zone voorkom je dat onbevoegde certificaatautoriteiten een certificaat voor jouw domein kunnen uitgeven.
Gebruik je DirectAdmin als controlepaneel? In deze handleiding lees je stap voor stap hoe je CAA DNS-records inschakelt, toevoegt en automatisch laat aanmaken voor zowel nieuwe als bestaande domeinnamen.
Wat is een CAA DNS-record?
Een CAA-record is een speciaal DNS-record waarmee je aangeeft welke certificaatautoriteiten SSL-certificaten voor jouw domein mogen uitgeven. Ondersteunt een certificaatautoriteit CAA-validatie, dan controleert deze eerst de DNS-records voordat een certificaat wordt uitgegeven.
De voordelen van CAA-records zijn onder andere:
- Betere beveiliging van je domeinnaam.
- Alleen goedgekeurde certificaatautoriteiten mogen SSL-certificaten uitgeven.
- Mogelijkheid om meldingen te ontvangen bij ongeautoriseerde certificaataanvragen.
- Extra bescherming tegen misbruik van SSL-certificaten.
CAA-records inschakelen in DirectAdmin
Voordat je CAA DNS-records kunt toevoegen, moet de functionaliteit eerst worden ingeschakeld.
Open het configuratiebestand:
/usr/local/directadmin/conf/directadmin.conf
Voeg de volgende regel toe:
dns_caa=1
Herstart vervolgens DirectAdmin:
service directadmin restart
Na de herstart verschijnt de mogelijkheid om CAA-records toe te voegen binnen de DNS-beheeromgeving van DirectAdmin.
CAA DNS-record toevoegen in DirectAdmin
Ga naar:
Server Manager → DNS Administration
Voeg vervolgens een nieuw CAA-record toe.
Voorbeeld: Let’s Encrypt toestaan
| Naam | TTL | Type | Waarde |
|---|---|---|---|
| @ | 5 Min. | CAA | 0 issue "letsencrypt.org" |
Hiermee mogen uitsluitend SSL-certificaten van Let’s Encrypt worden uitgegeven.
Gebruik je een andere certificaatautoriteit? Vervang dan letsencrypt.org door bijvoorbeeld:
sectigo.comdigicert.compki.goog
IODEF gebruiken voor meldingen
Met de IODEF-tag kun je een e-mailadres opgeven waarop meldingen worden ontvangen wanneer een certificaatautoriteit een certificaat probeert uit te geven die niet volgens jouw CAA-beleid is toegestaan.
Voorbeeld:
| Naam | TTL | Type | Waarde |
|---|---|---|---|
| @ | 5 Min. | CAA | 0 iodef "mailto:mailbox@jouwdomein.nl" |
Dit helpt om ongewenste of verdachte certificaataanvragen sneller te signaleren.
Automatisch CAA-records toevoegen voor nieuwe domeinen
Wanneer je regelmatig nieuwe domeinen aanmaakt, is het handig om DirectAdmin automatisch CAA-records te laten toevoegen.
Maak hiervoor een aangepaste DNS-template:
cd /usr/local/directadmin/data/templates
cp dns_caa.conf custom
cd custom
echo '|*if DNS_CAA="yes"|' >> dns_caa.conf
echo '|DOMAIN|.=0 issue "pki.goog"' >> dns_caa.conf
echo '|DOMAIN|.=0 issue "digicert.com"' >> dns_caa.conf
echo '|DOMAIN|.=0 issue "letsencrypt.org"' >> dns_caa.conf
echo '|DOMAIN|.=0 issue "sectigo.com"' >> dns_caa.conf
echo '|DOMAIN|.=0 iodef "mailto:postmaster@|DOMAIN|"' >> dns_caa.conf
echo '|*endif|' >> dns_caa.conf
Gebruik je een andere SSL-provider? Pas dan de betreffende issue-regel aan.
Herstart daarna DirectAdmin:
service directadmin restart
Nieuwe domeinnamen krijgen vanaf dat moment automatisch de opgegeven CAA-records.
CAA-records toevoegen aan bestaande domeinen
De bovenstaande template is alleen van toepassing op nieuwe domeinen. Om bestaande DNS-zones bij te werken, voer je onderstaande opdrachten uit:
cd /usr/local/directadmin
echo "action=rewrite&value=named" > data/task.queue
./dataskq d2000
Hiermee worden alle bestaande DNS-zones opnieuw opgebouwd met de aangepaste template.
Veelgebruikte CAA issue-waarden
| Certificaatautoriteit | CAA-waarde |
|---|---|
| Let’s Encrypt | 0 issue "letsencrypt.org" |
| Sectigo | 0 issue "sectigo.com" |
| DigiCert | 0 issue "digicert.com" |
| Google Trust Services | 0 issue "pki.goog" |
Gebruik uitsluitend de certificaatautoriteiten waarvan je daadwerkelijk SSL-certificaten wilt accepteren.
Conclusie
Door CAA DNS-records te configureren in DirectAdmin verbeter je de beveiliging van je domeinnaam en beperk je welke certificaatautoriteiten SSL-certificaten mogen uitgeven. Vooral wanneer je meerdere websites of servers beheert, is het verstandig om CAA-records automatisch via DNS-templates toe te voegen.
In combinatie met een betrouwbare certificaatautoriteit zoals Let’s Encrypt, Sectigo of DigiCert vormt dit een extra beveiligingslaag voor je websites en e-maildiensten.
Over de auteur
