Seit dem 09.09.2017 sind die Zertifizierungsstellen gemäß den Richtlinien des CA/Browser-Forums verpflichtet vor der Ausstellung bzw. Verlängerung eines SSL-Zertifikats die CAA-Einträge einer Domain zu überprüfen. Sollte für eine Domain kein CAA-Eintrag angelegt sein, dann sind alle Zertifizierungsstellen authorisiert ein SSL-Zertifikat für die entsprechende Domain auszustellen. Ist allerdings ein CAA-Eintrag vorhanden, dann darf nur die Zertifizierungsstelle ein Zertifikat ausstellen, die durch den CAA-Eintrag authorisiert wurde.
Mit einem CAA-Eintrag legen Sie als Inhaber einer Domain fest, welche Zertifizierungsstelle (CA) berechtigt ist, ein SSL/TLS-Zertifikat für Ihre Domain auszustellen. Dies soll als Sicherheitsmaßnahme dienen, so dass kein SSL-Zertifikat von einer nicht dazu authorisierten Stelle für Ihre Domain ausgestellt werden kann.
Eine Domain kann unterschiedliche Zertifizierungsstellen authorisieren und muss sich nicht auf eine bestimmte CA festlegen. So können auch z.B. für unterschiedliche Subdomains unterschiedliche CAs authorisiert werden. Die Überprüfung der CAA-Einträge erfolgt stets von der Subdomain-Ebene aufwärts. Besitzt eine Subdomain keinen CAA-Eintrag, dann ist die darüber liegende Domain-Ebene maßgeblich.
Der Aufbau eines CAA-Eintrags kann wie folgt aussehen:
ihredomain.tld | IN | CAA | 0 | issue | "trust-provider.com" |
Domainname | DNS-Typ | Flag | Eigenschaft | Zertifizierungsstelle |
Dies hängt davon ab, von welcher Zertifizierungsstelle Sie Ihr Zertifikat erwerben möchten. Nachfolgend haben wir Ihnen eine Liste mit den von uns angebotenen CAs zusammengestellt:
Im nachfolgenden Beispiel authorisieren wir EuropeanSSL ein SSL-Zertifikat für unsere Domain beispiel.de auszustellen.
beispiel.de IN CAA 0 issue "trust-provider.com"
beispiel.de IN CAA 0 issuewild "trust-provider.com"