+49 (0) 7245 919 560 info@webwide.de
Login
  1. Home
  2. WebWide Wissensdatenbank
  3. DNS
  4. Was ist ein CAA-Eintrag und wie funktioniert er?
WebWide Wissensdatenbank

Was ist ein CAA-Eintrag und wie funktioniert er?

Seit dem 09.09.2017 sind die Zertifizierungsstellen gemäß den Richtlinien des CA/Browser-Forums verpflichtet vor der Ausstellung bzw. Verlängerung eines SSL-Zertifikats die CAA-Einträge einer Domain zu überprüfen. Sollte für eine Domain kein CAA-Eintrag angelegt sein, dann sind alle Zertifizierungsstellen authorisiert ein SSL-Zertifikat für die entsprechende Domain auszustellen. Ist allerdings ein CAA-Eintrag vorhanden, dann darf nur die Zertifizierungsstelle ein Zertifikat ausstellen, die durch den CAA-Eintrag authorisiert wurde.


Was ist ein CAA-Eintrag?

Mit einem CAA-Eintrag legen Sie als Inhaber einer Domain fest, welche Zertifizierungsstelle (CA) berechtigt ist, ein SSL/TLS-Zertifikat für Ihre Domain auszustellen. Dies soll als Sicherheitsmaßnahme dienen, so dass kein SSL-Zertifikat von einer nicht dazu authorisierten Stelle für Ihre Domain ausgestellt werden kann.

Eine Domain kann unterschiedliche Zertifizierungsstellen authorisieren und muss sich nicht auf eine bestimmte CA festlegen. So können auch z.B. für unterschiedliche Subdomains unterschiedliche CAs authorisiert werden. Die Überprüfung der CAA-Einträge erfolgt stets von der Subdomain-Ebene aufwärts. Besitzt eine Subdomain keinen CAA-Eintrag, dann ist die darüber liegende Domain-Ebene maßgeblich. 


Wie ist ein CAA-Eintrag aufgebaut?

Der Aufbau eines CAA-Eintrags kann wie folgt aussehen:

ihredomain.tldINCAA0issue"trust-provider.com"
Domainname
DNS-TypFlagEigenschaftZertifizierungsstelle


  • Flag
    Mit der Flag wird angegeben, wie eine Zertifizierungsstelle einen CAA-Eintrag berücksichtigen soll. Der Wert der Flag kann zwischen 0 und 255 liegen. In der Regel wird aber nur der Wert 0 eingetragen.
  • Eigenschaft
    Es gibt 3 Eigenschaften, die einen CAA-Eintrag bestimmen:
    • issue: Mit diesem Wert geben Sie an, welche Zertifizierungsstellen ein SSL-Zertifikat für Ihre Domain ausstellen dürfen. Die Eigenschaft gilt für alle Zertifikatstypen, die kein Wildcard-Zertifikat sind.
    • issuewild: Mit diesem Wert geben Sie an, welche Zertifizierungsstellen ein Wildcard-Zertifikat für Ihre Domain ausstellen dürfen. Sollte dieser Wert nicht gesetzt werden, dann giblt die Vorgabe aus "issue" auch für Wildcard-Zertifikate.
    • iodef: Bei diesem Wert können Sie Kontaktdaten für die Zertifizierungsstelle anbieten. Die Angabe dieser Eigenschaft ist nur optional und wird auch von vielen Zertifizierungsstellen nicht unterstützt.


Welche CAA-Eintrag muss ich für mein Zertifikat verwenden?

Dies hängt davon ab, von welcher Zertifizierungsstelle Sie Ihr Zertifikat erwerben möchten. Nachfolgend haben wir Ihnen eine Liste mit den von uns angebotenen CAs zusammengestellt:

  • EuropeanSSL
    issue "trust-provider.com"
    issuewild "trust-provider.com"
  • thawte
    isseue "thawte.com"
    issuewild "thawte.com"
  • GeoTrust
    issue "geotrust.com"
    issuewild "geotrust.com"
  • RapidSSL
    issue "rapidssl.com"
    issuewild "rapidssl.com"

Wie muss ein CAA-Eintrag aussehen?

Im nachfolgenden Beispiel authorisieren wir EuropeanSSL ein SSL-Zertifikat für unsere Domain beispiel.de auszustellen.

beispiel.de IN CAA 0 issue "trust-provider.com"
beispiel.de IN CAA 0 issuewild "trust-provider.com"
Verwandte Themen: Zurück zum Inhaltsverzeichnis...
Empfanden Sie diesen Artikel als hilfreich?
Nein Ja
Wir verwenden Cookies für die technische Funktionalität dieser Website. Mit Ihrer Zustimmung erfassen wir außerdem Seitenaufrufe und andere statistische Daten in anonymisierter Form.

Nur notwendige
Allen zustimmen
Einzeln auswählen
Cookie-Einstellungen
Datenschutzbestimmungen lesen