Wat is een CAA-record en hoe werkt het met S/MIME-certificaten?

Geplaatst op 14-08-2024 - gewijzigd op 14-08-2024

Als domeinnaam-eigenaar heb je er vast al eens over gelezen of ben je het wel eens een keer tegen gekomen: een CAA-record. Een CAA-record is een type DNS-record dat domeinnaam-eigenaren de mogelijkheid biedt om te specificeren welke certificeringsautoriteit (CA) gemachtigd is om certificaten voor hun domeinen uit te geven. CAA staat dan ook voor Certification Authority Authorization. Door een CAA-record te gebruiken, kunnen domeinnaam-eigenaren voorkomen dat niet-geautoriseerde CA’s certificaten voor hun domeinen uitgeven. Dit komt natuurlijk de beveiliging van die domeinen ten goede.

De nieuwe 'issuemail'-tag

Vanaf maart 2025 wordt een belangrijke wijziging geïntroduceerd in de manier waarop CAA-records functioneren, specifiek met betrekking tot S/MIME-certificaten.

Note: wat zijn S/MIME-certificaten?
S/MIME (Secure/Multipurpose Internet Mail Extensions) certificaten worden gebruikt voor e-mailbeveiliging. Deze certificaten zorgen voor encryptie van e-mails, waardoor de inhoud alleen gelezen kan worden door de beoogde ontvanger. Daarnaast kunnen S/MIME-certificaten digitale handtekeningen toevoegen aan e-mails, wat de integriteit en authenticiteit van de berichten waarborgt. Dit is vooral belangrijk voor bedrijven en organisaties die gevoelige informatie per e-mail verzenden.

Volgens de nieuwe richtlijnen van het CA/B-forum voor S/MIME-baselinevereisten (bestaande uit certificeringsautoriteiten (CA's), webbrowserontwikkelaars en andere belanghebbenden die samenwerken om best practices en normen voor digitale certificaten te ontwikkelen) die vanaf 15 september 2024 van kracht worden, moeten certificeringsautoriteiten (CA's) de DNS-records van domeinen controleren op de aanwezigheid van de "issuemail"-tag in het CAA-record.

De issuemail-tag is specifiek ontworpen voor meldingen via e-mail wanneer er een poging wordt gedaan om een certificaat uit te geven voor het domein. Dit biedt domeinnaam-eigenaren een directe en efficiënte manier om meldingen te ontvangen en snel te reageren op ongeautoriseerde uitgiftepogingen.

Wat betekent deze wijziging voor mij als domeineigenaar?

Vanaf maart 2025 moeten CA's de DNS-records controleren op de issuemail-tag voordat ze S/MIME-certificaten uitgeven. Dit betekent dat domeineigenaren die S/MIME-certificaten gebruiken of willen gebruiken, hun DNS-configuratie moeten bijwerken om deze tag op te nemen. Zonder de issuemail-tag kunnen CA's doorgaan met het uitgeven van certificaten zoals gewoonlijk, maar door deze tag toe te voegen, kunnen domeineigenaren de uitgifte van certificaten beter controleren en beveiligen.

GlobalSign controleer vanaf 29 juli 2024 CAA-records op de issuemail-tag, zodat klanten de uitgifte van certificaten voor hun domeinen kunnen autoriseren. Andere grote CA's zoals DigiCert en Sectigo zullen deze controle uiterlijk in maart 2025 implementeren.

Hoe kan ik een CAA-record met de ‘issuemail’-tag instellen?

Het instellen van een CAA-record met de issuemail-tag is eenvoudig en kan via de DNS-beheerinterface van je DNS-provider of via jouw mijn.internettoday omgeving worden gedaan. Hier zijn enkele voorbeelden van hoe je dit kunt configureren voor verschillende certificeringsautoriteiten:

Voor Let’s Encrypt:
In dit voorbeeld mag alleen Let's Encrypt certificaten uitgeven voor example.com en worden meldingen over certificaatuitgifte verzonden naar admin@example.com.


Voor DigiCert:
Hier mag alleen DigiCert certificaten uitgeven voor example.com en worden meldingen verzonden naar security@example.com.


Voor Sectigo:
Hier mag alleen Sectigo certificaten uitgeven voor example.com en worden meldingen verzonden naar admin@example.com.


De introductie van de issuemail-tag in CAA-records is een belangrijke stap naar een nog hogere mate van beveiliging en controle van de uitgifte van certificaat, met name voor S/MIME-certificaten. Door deze nieuwe tag te implementeren, kun je als domeineigenaar snel en efficiënt meldingen ontvangen over certificaatuitgifte, wat helpt bij het voorkomen van ongeautoriseerde uitgifte en het versterken van de algehele beveiliging van hun domeinen.

Domeineigenaren die S/MIME-certificaten gebruiken, moeten ervoor zorgen dat hun DNS-records zijn bijgewerkt met de issuemail-tag vóór maart 2025 om te voldoen aan de nieuwe richtlijnen en om de beveiliging van hun e-mailcommunicatie te waarborgen.

Heb je hulp nodig bij het bijwerken van de issuemail-tag of heb je een vraag over deze blogpost? Neem dan contact op met een van onze customer service medewerkers.

Neem contact met ons op