یک پرونده CAA DNS مقامات گواهی نامه را که ممکن است برای دامنه و زیر دامنه های آن صدور گواهی صادر کنند ، محدود می کند. آیا سوابق CAA در یک محیط LAN منطقی است؟ نام های داخلی مانند ldap.emea.contoso.local را با گواهی هایی که توسط یک CA داخلی امضا شده است فرض کنید. آیا یک CAA می تواند در مورد contoso.local ضبط کند که فقط رسمی رسمی Contoso CA می تواند یک گواهی برای دامنه های Contoso امضا کند؟