Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für TCS den issue-Wert sectigo.com:

muster-uni.de.       IN    CAA    0 issue "sectigo.com"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"

Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung.

Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben:

muster-uni.edu.      IN    CNAME muster-uni.de.

muster-uni.de.       IN    CAA    0 issue "sectigo.com"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"