W każdym momencie możemy „odpytać” serwer DNS dowolnej domeny czy wpisy DNS sprawdzanej domeny zawierają rekordy CAA. W zależności od dodanych wpisów możemy otrzymać różne wartości. Do tego celu użyjemy polecenia dig.

W przypadku, gdy rekord CAA został dodany:

dig mojadomena.pl caa

; <<>> DiG 9.10.6 <<>> mojadomena.pl caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52212
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mojadomena.pl. IN CAA


;; ANSWER SECTION:
mojadomena.pl. 300 IN CAA 0 issuewild "comodoca.com"
mojadomena.pl. 300 IN CAA 0 issuewild "certum.pl"
mojadomena.pl. 300 IN CAA 0 issue "comodoca.com"
mojadomena.pl. 300 IN CAA 0 issue "certum.pl"


;; Query time: 27 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Sep 08 20:14:16 CEST 2018
;; MSG SIZE  rcvd: 169


W powyższym przykładzie pojawia się rekord CAA i dotyczy on możliwości generowania certyfikatów SSL przez dwóch wystawców: Comodo oraz Certum.

W przypadku, gdy domena nie ma zdefiniowanych rekordów CAA przy przesłaniu zapytania otrzymamy:

dig mojdomena.pl caa

; <<>> DiG 9.10.6 <<>> mojadomena.pl CAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14665
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mojadomena.pl. IN CAA

;; AUTHORITY SECTION:
mojadomena.pl. 1800 IN SOA ns1.mojadomena.pl. hostmaster.mojadomena.pl. 2018031501 12400 3400 1203400 80400

;; Query time: 20 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Sep 08 20:27:57 CEST 2018
;; MSG SIZE  rcvd: 91

W tym przypadku nie mamy sekcji ANSWER SECTION co oznacza, że żadne rekordy CAA nie występują i stąd brak odpowiedzi w tym zakresie ze strony odpytywanego serwera DNS.