O CAA, ou Certificate Authority Authorization, é um registo DNS que foi recentemente introduzido e que vem permitir a um titular de domínio restringir que CA (Certificate Authorities) podem emitir certificados para um determinado domínio.

De acordo com o CAB Forum, as Certificate Authorities têm agora que validar os registos CAA e seguir os procedimentos definidos no RFC 6844 quando emitirem os certificados.

A não existência de um registo CAA associado a um domínio significa que qualquer CA pode emitir um certificado para esse domínio. Para permitir múltiplas Certificate Authorities a emitirem certificados para o seu domínio, bastará que configure múltiplos registos CAA.

Abaixo segue um exemplo de um registo CAA:

Este registo permite que a Comodo emita certificados para o domínio "webtuga.pt". Existem no entanto outras configurações que podem ser feitas para este registo, podendo utilizar esta ferramenta para gerar um registo CAA: https://sslmate.com/caa/