O doménových záznamech typu CAA jsme psali před téměř třemi lety v článku Připíchněte si SSL certifikát k doméně. Umožňují provozovateli domény vyjmenovat certifikační autority, které mohou pro danou doménu vystavovat certifikáty. Záznamy jsou určeny výhradně pro potřeby autorit a klienti je nesmí validovat sami.
CAA záznamy jsou samozřejmě jen doplňkovým mechanismem, který nezabrání zlé či chybné autoritě certifikáty vystavit. Bezpečnostní analytik Scott Helme teď ale na svém blogu oznámil, že v rámci CA/Browser Fora bylo odhlasováno, že autority musí CAA záznamy povinně validovat a zohledňovat. Změna bude platit od 8. září letošního roku.