CAA dns records instellen voor DirectAdmin

CAA  record is een DNS record waarmee de domeineigenaar kan aangeven welke CA certificaten er uitgegeven mogen worden voor jouw domeinnaam.

Om CAA records te kunnen aanmaken in de DNS instellingen van een domeinnaam dient eerst de CAA records optie toegevoegd worden in DirectAdmin,

dit kan door het onderstaande in de /user/local/directadmin/conf/directadmin.conf te plaatsen:

dns_caa=1

Herstart vervolgens Directadmin:

service directadmin restart

 

Voeg CAA DNS records toe in DirectAdmin, door naar Server Manager en vervolgens naar DNS Administration te gaan.

Hieronder een voorbeeld van een CAA record waarvan de SSL door Letsencrypt is uitgegeven:

Name TTL Type Value
@ 5 Min. CAA 0 issue “letsencrypt.org”

DNS CAA record with SSL Letsencrypt

 

Mocht je ook je daarnaast ook een mail willen ontvangen als een SSL certificaat is aangevraagd door een CA wat niet in de DNS records staan dan kun je de tag iodef gebruiken. Hieronder een voorbeeld:

Name TTL Type Value
@ 5 Min. CAA 0 iodef “mailto:kieseenmail@sccmblog.nl”

DNS CAA record iodef

 

RFC6844 – DNS Certification Authority Authorization (CAA) Resource Record

HSTS header toevoegen in DirectAdmin

HSTS header: HTTP Strict Transport Security

Voeg de onderstaande regel toe aan /user/local/directadmin/conf/directadmin.conf:

SSL=1
hsts=5184000

Als de bovenstaande regel is ingevoerd en de services is gereboot, en de waarde van hsts groter of gelijk aan 0 is, dan zal de header ingesteld worden met de onderstaande waarde (max-age van 1 jaar):
Strict-Transport-Security: max-age=31536000

LET OP: deze waarde wordt nu alleen toegevoegd aan de inlogpagina van DirectAdmin.

Wil je de HSTS header ook toevoegen aan een domeinnaam, dan zul je per domeinnaam de onderstaande twee regels moeten toevoegen aan het .htaccess bestand:

Apache .htaccess Code Directive
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"