O tipo de entrada CAA é majoritariamente utilizado para controlar permissões e reporte de problemas relacionados à emissão de certificados relacionados ao domínio e subdomínios da zona relacionada à entrada.
Uma entrada muito comum utilizada, é o registro CAA abaixo:
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:caa@example.com"
issue: a CA está autorizada a fornecer um certificado para este domínio.
issuewild: a CA que pode emitir certificados wildcard para este domínio. Quando esse registro não está presente, o valor de issue é considerado.
iodef: URL ou endereço de e-mail que a CA pode usar para comunicação de incidentes.
Relação de autoridades certificadores e seus domínis para registro CAA:
| Autoridade certificadora | Registros |
|---|---|
| Let's Encrypt | 0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" |
| SSL.com | 0 issue "ssl.com" 0 issuewild "ssl.com" |
| Google Cloud | 0 issue "pki.goog" 0 issuewild "pki.goog" |
| Google Cloud (para IDN) | 0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" |
| Amazon Web Services | 0 issue "amazonaws.com" 0 issuewild "amazonaws.com" |
| CloudFlare | 0 issue "pki.goog; cansignhttpexchanges=yes" 0 issuewild "pki.goog; cansignhttpexchanges=yes" 0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 issue "ssl.com" 0 issuewild "ssl.com" 0 issue "sectigo.com" 0 issuewild "sectigo.com" |
| Hostinger | 0 issue "digicert.com" 0 issue "digicert.com" 0 issue "sectigo.com" 0 issue "sectigo.com" 0 issue "letsencrypt.org" 0 issue "letsencrypt.org" 0 issue "globalsign.com" 0 issue "globalsign.com" 0 issue "comodoca.com" 0 issue "comodoca.com" 0 issue "pki.goog" 0 issue "pki.goog" |
| Sectigo | 0 issue "sectigo.com" 0 issuewild "sectigo.com" |