DNS-запись, которая указывает миру, какие центры сертификации (ЦС) имеют право выпускать TLS-сертификаты для твоего домена. CAA = Certification Authority Authorization.
Почему это важно: если ты не установишь CAA, любой ЦС сможет выпустить сертификат на твоё имя. Это проблема. Поддельный ЦС, скомпрометированный ЦС или ЦС с халатной проверкой может создать сертификаты для твоей инфраструктуры и перехватить трафик. CAA-записи — твои вратники.
Пример CAA-записи: ``` example.com. IN CAA 0 issue "letsencrypt.org" ```
Это означает: только Let's Encrypt может выпускать сертификаты для example.com. Большинство реестров теперь поддерживают CAA; ICANN с 2017 года требует от ЦС соблюдать CAA-предпочтения, но соблюдение неравномерно.
Домены bunkerdomains поддерживают полный контроль CAA через файл зоны или редактор DNS регистратора. Если ты ведёшь операцию с высокой приватностью или чувствительного характера, установи CAA рано. Не жди, пока тебя скомпрометируют.