Defaults.Exposed › Instellen › CAA

Een CAA-record instellen bij Cloudflare

Voeg een CAA-record toe bij Cloudflare om te bepalen welke certificaatautoriteiten SSL-certificaten voor uw domein mogen uitgeven.

Waarom dit belangrijk is voor uw bedrijf

Een CAA-record (Certification Authority Authorization, een DNS-record dat toestemming regelt) benoemt welke certificaatautoriteiten — de bedrijven die de SSL/TLS-certificaten achter het hangslotje in de browser uitgeven — een certificaat voor uw domein mogen uitgeven. Iedere autoriteit die zich aan de regels houdt, moet dit record eerst controleren en de aanvraag weigeren als ze er niet op staat.

Eenvoudig gezegd: zonder een CAA-record zouden honderden certificaatautoriteiten wereldwijd misleid kunnen worden of een fout kunnen maken en iemand een geldig certificaat voor uw domein in handen geven — waarmee een aanvaller uw website overtuigend kan nabootsen. Een CAA-record sluit die deur door te zeggen: alleen deze autoriteiten, niemand anders. Het is gratis en kost een paar minuten.

Controleer of Cloudflare uw DNS beheert

Dit werkt alleen als Cloudflare de DNS voor uw domein beantwoordt. Cloudflare is uw DNS-host, en die DNS is alleen actief wanneer de naamservers van uw domein naar de Cloudflare-naamservers in uw dashboard wijzen. Open uw domein in Cloudflare en controleer op de pagina Overview of Cloudflare actief is. Wijzen uw naamservers ergens anders heen, voeg het CAA-record dan toe bij de provider die uw DNS beheert.

Ken eerst uw certificaatautoriteit

Voordat u iets toevoegt, zoek uit welke autoriteit uw certificaat uitgeeft, anders sluit u mogelijk uw eigen provider buiten. Veelvoorkomende waarden:

• letsencrypt.org — Let’s Encrypt (gebruikt door de meeste gratis en geautomatiseerde certificaten)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Een opmerking over Cloudflare: gebruikt u Cloudflares eigen SSL (de geproxyde opzet met de oranje wolk), dan geeft Cloudflare namens u certificaten uit via verschillende autoriteiten — zorg er dus voor dat een CAA-record dat u toevoegt die nog steeds toestaat, of laat Cloudflare het CAA-beheer voor u doen. Weet u het niet zeker, vraag het dan aan degene die uw hosting heeft ingericht, of bekijk het certificaat in uw browser (klik op het hangslotje en bekijk de uitgever van het certificaat).

Stap voor stap bij Cloudflare

1. Log in bij Cloudflare en selecteer uw domein.
2. Ga in het linkermenu naar uw DNS-instellingen (kijk naar DNS / Records).
3. Klik op Add record.
4. Stel Type in op CAA.
5. Voer in het veld Name in: @ De @ staat voor de root van uw domein. Cloudflare voegt het domein zelf toe, dus typ uw domeinnaam er niet achter.
6. Cloudflare toont de CAA-velden als handige menu’s. Stel ze als volgt in:
   • Flags: 0
   • Tag: kies Only allow specific hostnames (dit is de issue-tag)
   • CA domain name (de waarde): letsencrypt.org
7. Laat TTL op Auto staan.
8. Klik op Save.

Meer dan één certificaatautoriteit toestaan

De meeste domeinen gebruiken in de loop van de tijd meer dan één autoriteit — bijvoorbeeld vandaag een gratis certificaat en later een betaald, of een andere voor een aparte dienst. Om er meerdere toe te staan, voegt u voor elke autoriteit een apart CAA-record toe. Ze gebruiken allemaal dezelfde @-naam, 0-flags en issue-tag — alleen de CA-domeinwaarde verschilt:

• één record met waarde letsencrypt.org
• één record met waarde digicert.com

Samen zeggen die: beide autoriteiten zijn toegestaan, geen andere. U combineert ze niet tot één record.

Cloudflare-valkuilen waar mensen instappen

• De grootste fout is uw eigen autoriteit buitensluiten. Voegt u een CAA-record toe dat alleen digicert.com vermeldt terwijl uw certificaat in werkelijkheid via Let’s Encrypt verlengt, dan mislukt de volgende verlenging stilletjes en kan uw hangslotje weken later kapotgaan. Neem altijd elke autoriteit op die u echt gebruikt voordat u opslaat.
• Let op Cloudflares eigen SSL. Loopt uw verkeer via Cloudflare (oranje wolk), dan moet Cloudflare edge-certificaten kunnen verkrijgen. Een CAA-record dat de autoriteiten die Cloudflare gebruikt uitsluit, kan dat breken — bij twijfel staat u Let’s Encrypt en Google Trust Services (pki.goog) naast uw eigen toe, of laat u CAA aan Cloudflare over.
• Name is @, niet uw domein. Gebruik @ voor de root; Cloudflare voegt het domein zelf toe.
• De tag-formulering verschilt. Cloudflare noemt de issue-tag in zijn menu Only allow specific hostnames. Dat is de juiste keuze voor normaal gebruik.
• Flags is 0 voor een gewoon record. De andere waarde, 128, is een strikte modus — gebruik die alleen bewust.
• Gebruik het kale domein, geen URL. De waarde is letsencrypt.org, nooit https://letsencrypt.org en nooit www..
• Geen proxy op een CAA-record. CAA is een puur DNS-record — hier hoeft u zich geen zorgen te maken over de oranje/grijze wolk-schakelaar.
• Geef het tijd. DNS-wijzigingen kunnen een paar minuten tot enkele uren duren voordat ze actief zijn. Bestaande certificaten blijven werken; CAA wordt alleen gecontroleerd wanneer een nieuw certificaat wordt uitgegeven of verlengd.

Controleer of het gelukt is

Zodra het record is opgeslagen en doorgevoerd, voert u de gratis controle op deze site uit. Die vertelt u in gewone taal of uw CAA-record aanwezig is en welke autoriteiten u heeft toegestaan.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.