Mit dem CAA (Certification Authority Authorization) Eintrag legen Sie fest, welche Zertifizierungsstellen dazu berechtigt sind, Zertifikate für Ihren Domainnamen oder bestimmte Subdomains auszustellen. So soll vermieden werden, dass Ihnen unbekannte Zertifizierungsstellen Zertifikate ausstellen. Seit 8. September 2017 sind alle vom CA/Browser Forum (Konsortium der wichtigsten Browser Hersteller und Zertifizierungsstellen) akzeptierten Zertifizierungsstellen (Certificate Authorities - CA) dazu verpflichtet, bei der Ausstellung von Zertifikaten CAA Einträge zu überprüfen und diese zu berücksichtigen. Der Eintragstyp CAA ist im RFC6844 ausführlich beschrieben.

Ein CAA Eintrag besteht aus einem sogenannten Issuer Critical Flag, kurz flag, der Eigenschaft (tag) und dem Wert (value) dieser Eigenschaft.
Als Flag sind aktuell nur die Werte 0 und 1 (critical) erlaubt. Bei den Eigenschaften sind die Begriffe issue, issuewild und iodef definiert. Für die künftige Verwendung als weitere Eigenschaften sind die Begriffe auth, path und policy reserviert.
Mit issue wird festgelegt, welche CA Zertifikate für eine Domain ausstellen darf. Mit issuewild wird festgelegt, welche CA WildCard-Zertifikate für eine Domain ausstellen darf. Mit iodef kann eine E-Mail-Adresse oder URL angegeben werden, welche bei Problemen bei der Zertifikatsausstellung (z.B. Verstoß gegen eine issue-Regel) kontaktiert werden soll.
Bei value handelt es sich um den im Klartext hinterlegten Wert des CAA Eintrags.

Wenn Sie einen DNS CAA Eintrag für eine Domain (@ IN CAA) setzen, gilt dieser auch für alle Subdomains Ihrer Domain, sofern kein eigener IN CAA Eintrag für diese Subdomain gesetzt wird. In der Praxis werden üblicherweise mehrere CAA Einträge für eine Domain gesetzt.
Unsere Nameserver liefern, wie in der Spezifikation vorgesehen, bei Anfragen für den Typ CAA alle vorhandenen Einträge gemeinsam aus.

• Es dürfen generell keine Zertifikate für eine Domain ausgestellt werden
  
  @ IN CAA 0 issue ";"
  

• Eine bestimmte Zertifizierungsstelle darf Zertifikate für eine Domain ausstellen
  
  @ IN CAA 0 issue "symantec.com"
  

• Eine bestimmte Zertifizierungsstelle darf WildCard-Zertifikate (*.domain.tld) für eine Domain ausstellen
  
  @ IN CAA 0 issuewild "symantec.com"
  

• Eine E-Mail-Adresse für Benachrichtigungen zu Verstößen der festgelegten CAA Regeln festlegen
  
  @ IN CAA 0 iodef "mailto:example@example.tld"
  

• Eine bestimmte Zertifizierungsstelle darf Zertifikate ausstellen, niemand darf WildCard-Zertifikate ausstellen, Benachrichtigungen zu Verstößen sollen per E-Mail gemeldet werden:
  
  @ IN CAA 0 issue "symantec.com"
  @ IN CAA 0 issuewild ";"
  @ IN CAA 0 iodef "mailto:example@example.tld"