接著是 DNS CAA,這個就比較進階,在 DNS 增加一個紀錄,表示可以幫這個 domain 簽憑證的是特定的機構,這個會稍微比較選擇性的,但如果要求較高的資安等級的話會建議也實作。像之前有發生過根憑證機構賽門鐵克失誤簽發了 Google HTTPS 憑證。若於 DNS 上增加 CAA record 的話,即便是誤簽的憑證也不能被使用,使用者的瀏覽器也會跳出警告。若是被信任的根憑證機構誤發了憑證,如果沒有 DNS CAA 機制的話,這個憑證就會當作是正常的,但是其實是使用了不該被發出來的憑證。