SSL-certifikatens maximala livslängd reduceras till 200 dagar från mars 2026. Läs mer →

SSL-certifikat

Billigt SSL DV SSL Wildcard SSL Multi-Domain (SAN) OV & EV SSL

Specialcertifikat

Code Signing Document Signing E-post / S/MIME VMC / BIMI
Pågår nu Certifikatlivslängd

Automatisering

Översikt Auto DNS FairSSL vs Let's Encrypt

Plattformar

Windows-konfiguration Linux & Kubernetes Appliances ACME-klienter

Verktyg

SSL Scanner Certifikat Decoder CAA Generator

Guider

Windows Server Linux & Open Source Alla guider

Företag

Om oss Kontakt Installationsservice
Nyheter

Språk

Dansk Svenska English

Valuta

Logga in Skapa Konto
DNS Normal ~4 min. lästid

Konfiguration av CAA-records

Styr vilka certifikatutfärdare (CA) som får utfärda certifikat för din domän med DNS CAA-records. Innehåller exempel för populära DNS-leverantörer.

Konfiguration av CAA-records

Vad är en CAA-record?

En CAA-record (Certificate Authority Authorization, RFC 8659) är en DNS-post som anger vilka certifikatutfärdare (CA) som har tillåtelse att utfärda SSL-certifikat för din domän.

Alla publika CA:er är skyldiga att kontrollera CAA-records innan utfärdande. Om en CA inte är angiven i din CAA-record måste de neka certifikatbegäran.

CAA-records är valfria. Utan CAA-records kan vilken CA som helst utfärda certifikat till din domän.

Kontrollera befintliga certifikat

Innan du konfigurerar CAA-records bör du kontrollera vilka CA:er som redan har utfärdat certifikat för din domän. Tjänster som Cloudflare, webbhotell eller CDN-tjänster kan använda egna certifikat (vanligtvis Let's Encrypt).

Använd crt.sh för att söka i Certificate Transparency-loggen:

https://crt.sh/?q=%25.dit-domaene.dk

% fungerar som wildcard. Sökningen visar alla offentligt utfärdade certifikat för domänen och dess subdomäner, med utfärdare, utfärdandedatum och utgångsdatum.

Identifiera alla unika CA:er i resultatet och se till att de alla inkluderas i dina CAA-records.

CAA-taggar

Det finns 3 taggar för CAA-records. Du skapar en separat DNS-post för varje tagg:

TaggSyfteExempel
issue Tillåter en CA att utfärda standardcertifikat (single domain, SAN). Ger även tillåtelse för wildcard, såvida inte en issuewild-post existerar. 0 issue "digicert.com"
issuewild Tillåter en CA att utfärda wildcard-certifikat. De flesta wildcard-certifikat innehåller även ett specifikt domännamn, så du behöver oftast både issue och issuewild. 0 issuewild "digicert.com"
iodef Anger en URL eller e-postadress där CA:er kan rapportera försök till utfärdande som bryter mot din CAA-policy. 0 iodef "mailto:ssl@eksempel.dk"

För att blockera alla CA:er från att utfärda en viss typ av certifikat, använd ett semikolon som värde:

eksempel.dk  CAA  0 issuewild ";"

FairSSL CA-taggvärden

Nedan visas de CA-taggvärden du ska använda för att tillåta utfärdande av FairSSL-certifikat:

Tagg-värdeVarumärken
digicert.comDigiCert, GeoTrust, Thawte, RapidSSL
globalsign.comGlobalSign, AlphaSSL
sectigo.comSectigo (tidigare Comodo)
letsencrypt.orgLet's Encrypt

Exempel

Tillåt alla FairSSL-certifikatutfärdare

Ger GlobalSign, DigiCert och Sectigo tillåtelse att utfärda standard- och wildcard-certifikat. Alla andra CA:er blockeras.

fairssl.dk  CAA  0 issue "globalsign.com"
fairssl.dk  CAA  0 issue "digicert.com"
fairssl.dk  CAA  0 issue "sectigo.com"
fairssl.dk  CAA  0 iodef "mailto:ssl@fairssl.dk"

Tillåt specifika namn, men inte wildcard

Ger Sectigo tillåtelse för standardcertifikat, men blockerar wildcard för subdomänen:

vpn.fairssl.dk  CAA  0 issue "sectigo.com"
vpn.fairssl.dk  CAA  0 issuewild ";"

Tillåt DigiCert med wildcard och Let's Encrypt utan

Let's Encrypt kan utfärda standardcertifikat, men endast DigiCert kan utfärda wildcard:

fairssl.dk  CAA  0 issue "letsencrypt.org"
fairssl.dk  CAA  0 issue "digicert.com"
fairssl.dk  CAA  0 issuewild "digicert.com"

Konfiguration hos DNS-leverantörer

one.com

  1. Logga in på one.com-kontrollpanelen.
  2. Gå till DNS-inställningar under din domän.
  3. Klicka på Lägg till post och välj typen CAA.
  4. Fyll i fälten:
    • Värdnamn: Din domän (t.ex. fairssl.dk) eller lämna fältet tomt för rot-domänen.
    • Flagg: 0
    • Tagg: issue, issuewild eller iodef
    • Värde: CA-adressen (t.ex. digicert.com)
  5. Klicka på Spara. Skapa en post för varje CA/tagg-kombination.

Google Cloud DNS / AWS Route 53

I molnbaserade DNS-tjänster ser konfigurationen vanligtvis ut så här:

fairssl.dk  CAA  0 issue "digicert.com"
fairssl.dk  CAA  0 issue "globalsign.com"
fairssl.dk  CAA  0 issue "sectigo.com"
fairssl.dk  CAA  0 issuewild ";"
fairssl.dk  CAA  0 iodef "mailto:ssl@fairssl.dk"

BIND DNS (version 9.9.6+)

I BIND zone-filformat:

fairssl.dk.  IN  CAA  0 issue "digicert.com"
fairssl.dk.  IN  CAA  0 issue "globalsign.com"
fairssl.dk.  IN  CAA  0 issue "sectigo.com"
fairssl.dk.  IN  CAA  0 issuewild ";"
fairssl.dk.  IN  CAA  0 iodef "mailto:ssl@fairssl.dk"

Verifiera din konfiguration

Efter att ha skapat dina CAA-records, verifiera att de är korrekta:

dig CAA dit-domaene.dk

Eller använd ett onlineverktyg som dnschecker.org för att kontrollera DNS-spridningen.

Viktig information

  • CAA-records ärvs av subdomäner. En CAA-record på fairssl.dk gäller även för www.fairssl.dk, såvida inte subdomänen har en egen CAA-record.
  • Ändringar i DNS kan ta upp till 24 timmar att spridas (beroende på TTL). Använd ett lågt TTL-värde (t.ex. 3600 sekunder) under konfigurationen.
  • Kom ihåg att inkludera Let's Encrypt (letsencrypt.org) om du använder tjänster som automatiskt utfärdar certifikat (Cloudflare, Vercel, Netlify, etc.).
  • Testa certifikatutfärdande efter CAA-ändringar för att säkerställa att din konfiguration inte blockerar legitima certifikat.

Förbättra din TLS-säkerhet

Använd Mozilla SSL Configuration Generator för att generera en säker TLS-konfiguration med moderna cipher suites och protokollinställningar.

Mozilla SSL Configuration Generator guide
Tillbaka till guider

Redo att skapa ett gratis konto?

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat