Naar hoofdinhoud
EU-webbeveiliging: in 10 stappen naar een betere rating · Deel 8

CAA-records: wie mag certificaten uitgeven voor uw domein?

97% van de EU-domeinen heeft geen CAA-record. Elke CA ter wereld kan een geldig certificaat voor hen uitgeven. Eén DNS-record verandert dat.

· SiteGuardian

Deel 8 van de serie "EU-webbeveiliging: in 10 stappen naar een betere rating"

Het probleem

Er zijn honderden certificeringsautoriteiten (CA's) wereldwijd. Elke CA kan een geldig TLS-certificaat uitgeven voor elk domein — tenzij een CAA-record expliciet zegt: "alleen deze CA".

Zonder CAA: een aanvaller die een willekeurige CA compromitteert (of er een gebruikt in een jurisdictie met minimaal toezicht) kan een geldig certificaat uitgeven voor uw-domein.com. Browsers accepteren het zonder waarschuwing.

Met CAA: de CA controleert het CAA-record voor uitgifte. Staat deze er niet in, dan weigert zij.

CAA-adoptie in de EU: 3%. 97% van de domeinen vertrouwt blindelings elke CA ter wereld.

Hoe u CAA instelt

Een CAA-record is een DNS-record (type CAA):

uw-domein.com. IN CAA 0 issue "letsencrypt.org"
uw-domein.com. IN CAA 0 issuewild ";"
uw-domein.com. IN CAA 0 iodef "mailto:security@uw-domein.com"
  • issue "letsencrypt.org" — alleen Let's Encrypt mag standaard certificaten uitgeven
  • issuewild ";" — niemand mag wildcardcertificaten uitgeven
  • iodef "mailto:..." — melding bij beleidsschendingen

Meerdere CA's toestaan

uw-domein.com. IN CAA 0 issue "letsencrypt.org"
uw-domein.com. IN CAA 0 issue "digicert.com"

Providerspecifieke CA-namen

CA CAA-waarde
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo (Comodo) sectigo.com
GlobalSign globalsign.com
Amazon/ACM amazon.com
Google Trust pki.goog

Veelgemaakte fouten

1. CAA instellen zonder te weten welke CA het huidige certificaat heeft uitgegeven. Controleer eerst: openssl s_client -connect uw-domein.com:443 | openssl x509 -noout -issuer. Voeg die CA toe aan uw record.

2. Wildcards vergeten. issuewild is apart van issue. Zonder een expliciet issuewild kan elke CA een wildcardcertificaat uitgeven — ook als issue beperkt is.

3. Subdomeinen negeren. CAA wordt hiërarchisch geërfd. Een record op uw-domein.com geldt ook voor www.uw-domein.com — tenzij het subdomein een eigen CAA-record heeft.

Controleer uw domein

https://siteguardian.io/scan

Volgende week in Deel 9: Cookiecompliance — pre-consent cookies, overdrachten aan derden en wat de AP, CNIL en het HvJ-EU erover zeggen.

Hoe scoort jouw website in vergelijking?

SiteGuardian scant je domein op zes beveiligingsdimensies — gratis, direct, zonder registratie.

Scan je website

EU-webbeveiliging: in 10 stappen naar een betere rating

Dit artikel maakt deel uit van een wekelijkse serie over best practices voor EU-webbeveiliging.

SiteGuardian

2026-06-01

RSS