Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно
проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844,
Certificate Authority Authorization) позволяет владельцу домена явно определить
удостоверяющий центр, который имеет полномочия для генерации сертификатов для
указанного домена. При наличии CAA-записи все остальные удостоверяющие центры
обязаны блокировать выдачу сертификатов от своего имени для данного домена и
информировать его владельца о попытках компрометации.

Например, добавление в зону домена example.com записей (для BIND 9.9.6 и более новых выпусков):

   $ORIGIN example.com
   .       CAA 0 issue "letsencrypt.org"
   .       CAA 0 iodef "mailto:security@example.com"
или
   .       CAA 0 iodef "http://iodef.example.com/"


указывает на то, что сертификаты для example.com  генерируются только
удостоверяющим центром  Let's Encrypt (осуществляется проверка владельца
домена "letsencrypt.org"). В поле iodef задаётся метод оповещения о попытке
генерации сертификата. Поддерживается отправка уведомления на email или
информирование через запрос к web-сервису (RFC-6546).

При желании можно уточнить учётную запись под которой разрешено генерировать сертификаты:

   .       CAA 0 issue "letsencrypt.org; account=12345"

Кроме  issue также поддерживается поле issuewild, через которое задаются
дополнительные ограничения выдачи сертификатов с маской, охватывающей группу хостов.

Допустимо указание нескольких записей issue, при использовании сертификатов от
нескольких удостоверяющих центров:

  example.com.       CAA 0 issue "symantec.com"
  example.com.       CAA 0 issue "pki.goog"
  example.com.       CAA 0 issue "digicert.com"

Проверить корректность создания записей CAA можно командой:

   dig +short +noshort example.com CAA

Также доступен web-интерфейс для автоматической генерации конфигураций.