===== CAA-Records =====

Wie jede Public-Trust PKI unterstützt auch HARICA CAA-Records.

**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. 

CAA-Records sind eine optionale zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden, die Ausstellung von Zertifikaten von öffentlich vertrauten PKIs (public Web-PKI) auf bestimmte Zertifizierungsstellen einzuschränken oder ganz zu verbieten.

=== harica.gr ===

Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den Wert ''harica.gr''. HARICA beachtet CAA-Records vom Typ ''issue'' für Serverzertifikate allgemein, ''issuewild'' für die spezielle Kontrolle von Wildcard-Serverzertifikaten und ''issuemail'' für S/MIME-Zertifkate, sofern diese denn jeweils für eine Domain gesetzt sind.

Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden.

**Beispiel** für alle Serverzertifikate ohne gesonderte Behandlung von Wildcard-Zertifikaten:

<code>
muster-uni.de.       IN    CAA    0 issue "harica.gr"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"
</code>

**Beispiel** für S/MIME-Zertifikate:

<code>
muster-uni.de.       IN    CAA    0 issuemail "harica.gr"
</code>

=== Auswertung von CAA-Records bei Subdomains ===

CAA-Records werden "von links nach rechts" abgefragt. Die CA prüft zunächst, ob im DNS ein CAA-Record beim vollständigen FQDN vorliegt. Falls nein, wird iterativ von links ein Label vom Namen entfernt, und dieser neue Name auf Vorhandensein eines CAA-Records geprüft. 
Z.B.:
<code>
www.sub.example.org
sub.example.org
example.org
org
</code>

Der ersten gefundene CAA-Record wird verwendet, und es wird nicht weiter gesucht. 

Dies bedeutet: Ein CAA-Record auf Ebene der Second-Level-Domain kann durch darunterliegende Ebenen überschrieben werden!

=== CNAMEs und CAA-Records ===

Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben:

<code>
muster-uni.edu.      IN    CNAME muster-uni.de.

muster-uni.de.       IN    CAA    0 issue "harica.gr"
muster-uni.de.       IN    CAA    0 issuemail "harica.gr"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"
</code>