Una CAA permite especificar qué Autoridades de certificación están autorizadas para emitir un certificado para mi dominio. Por ejemplo
example.com. CAA 0 número "symantec.com"
solo permitirá que Symantec emita certificados para example.com.
Sin embargo, como se explica en ¿Por qué los navegadores no comprueban los registros de CAA para garantizar que un certificado sea válido? esto no está verificado ni se aplica por los navegadores. No hay ninguna razón para establecerlo en la CA que emitió el certificado actual .
Teniendo esto en cuenta: ¿no sería más seguro establecer el registro CAA en una CA no válida como esta?
example.com. Número de CAA 0 "doesnotexist.com"
De esa manera, nadie puede emitir un certificado.
Mi certificado sigue siendo válido por varios años a partir de ahora y no necesitaré ninguna CA para emitir un certificado en este momento. Cuando llegue el momento, cambiaré temporalmente el registro de CAA a la CA específica para permitirlo.