Certification Authority Authorization, är en säkerhetsmekanism inom DNS.

CAA gör det möjligt för domänägare att ange vilka certifikatutfärdare (CA:er) som har rätt att utfärda TLS-certifikat för deras domän. Syftet är att minska risken för felaktigt eller obehörigt utfärdade certifikat, vilket annars kan leda till man-in-the-middle-attacker.

Genom att använda CAA kan en domänägare tydligt begränsa vilka aktörer som får skapa certifikat, till exempel endast Let’s Encrypt eller en specifik kommersiell CA. Alla betrodda certifikatutfärdare är skyldiga att kontrollera CAA-information innan de utfärdar ett certifikat, vilket gör CAA till ett viktigt skyddslager för HTTPS.