Die SSL/TLS-Testseite von Qualys schlägt neuerdings vor, einen CAA RR im DNS anzulegen, (und rfc6844 schlägt natürlich vor, DNSSEC zu aktivieren).
https://tools.ietf.org/rfc/rfc6844.txt
Der CAA Eintrag dient, um für eine Domain angeben zu können, welche CA für diese Domain Zertifikate ausstellen darf.
CA's können somit vor Ausstellung eines Zertifikats prüfen, ob der Domaininhaber vorgesehen hat, dass diese CA ein Zertifikat ausstellen darf.
Der CAA RR ist damit an die CA's gerichtet, nicht an Clients (für Clients gibt es DANE).