Dokumentation

Vad är en CAA-post och hur konfigurerar du den

Vad är en CAA-post?

En CAA-post (Certification Authority Authorization) är en DNS-post som anger vilka certifikatutfärdare (CA:er) som har tillstånd att utfärda SSL/TLS-certifikat för din domän.

Utan en CAA-post kan vilken som helst av de hundratals betrodda CA:erna i världen utfärda ett certifikat för din domän — med eller utan din vetskap. Om en CA komprometteras, luras via social engineering eller utfärdar ett certifikat av misstag, kan en angripare använda det certifikatet för att utge sig för att vara din domän med en fullt betrodd HTTPS-anslutning.

CAA-poster ger dig direkt kontroll över detta. Om en CA kontrollerar ditt DNS och dess namn inte finns i din CAA-post, måste den vägra att utfärda ett certifikat.

ExposureIndex övervakar detta och inkluderar statusen i rapporterna.

Vad du bör göra

Steg 1 — Bestäm vilka CA:er du använder

Vanliga certifikatutfärdare:

CA CAA-värde
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo / Comodo sectigo.com
GlobalSign globalsign.com
Amazon (ACM) amazon.com
Google Trust Services pki.goog

Steg 2 — Lägg till CAA-poster i DNS

CAA-poster använder följande format:

dindomän.se  CAA  0 issue "letsencrypt.org"
  • 0 — Flagga. Alltid 0 för standardanvändning.
  • issue — Tillåter utfärdande av vanliga certifikat.
  • issuewild — Tillåter utfärdande av wildcard-certifikat (t.ex. *.dindomän.se). Måste anges separat om det behövs.
  • iodef — Valfri. En URL eller e-postadress att meddela om en CA får en otillåten utfärdningsbegäran.

Exempel: tillåt Let's Encrypt för vanliga certifikat, DigiCert för wildcard, och få notifiering vid överträdelser:

dindomän.se  CAA  0 issue "letsencrypt.org"
dindomän.se  CAA  0 issuewild "digicert.com"
dindomän.se  CAA  0 iodef "mailto:security@dindomän.se"

Steg 3 — Verifiera

dig CAA dindomän.se

Eller använd SSLMate:s CAA-kontroll.

Vad händer om du av misstag låser ut dig själv?

Om du publicerar en CAA-post som inte inkluderar din nuvarande CA börjar dina certifikatförnyelser att misslyckas. Detta är återställningsbart — uppdatera bara CAA-posten för att lägga till rätt CA. DNS sprids inom minuter till timmar, och förnyelser kan sedan fortsätta normalt.

För säkerhets skull bör du alltid kontrollera din CAA-post inför en kommande certifikatförnyelse.

Senast uppdaterad: March 28, 2026