Sie befinden sich hier: Startseite / Support / Häufige Fragen (FAQ) / Domain-Konfiguration, FTP, DNS / Grundlagen zur DNS-Technik (Nameserver)

Fragen und Antworten

Was sind CAA-Einträge und wie funktionieren sie?

DNS-Einträge vom Typ "CAA" dienen der Überprüfung, ob eine bestimmte Zertifizierungsstelle (z.B. Comodo oder Let's Encrypt) ein SSL-Zertifikat für die jeweilige Domain ausstellen darf. Die Prüfung wird seit September 2017 von allen Zertifizierungsstellen bei der Neuausstellung und Verlängerung von Zertifikaten durchgeführt.

Existieren für eine Domain keine CAA-Einträge, kann jede Zertifizierungsstelle ein Zertifikat für die Domain ausstellen. Wenn CAA-Einträge existieren, darf nur die angegebene Zertifizierungsstelle ein Zertifikat ausstellen.

CAA-Einträge werden von der Sub-Domain-Ebene aufsteigend ausgewertet: Wenn eine Sub-Domain keinen CAA-Eintrag hat, so wird die nächsthöhere Domain-Ebene geprüft, bis die Haupt-Domain erreicht ist. Die CAA-Einträge einer Sub-Domain überschreiben dabei eventuell vorhandene CAA-Einträge der übergeordneten Domain-Ebenen. Im Regelfall werden CAA-Einträge jedoch nur für die Haupt-Domain angelegt.

Aufbau eines CAA-Eintrags

Am Anfang des CAA-Eintrags steht das "Issuer Critical Flag", das immer auf 0 gesetzt werden sollte. Es folgt issue für Nicht-Wildcard- oder issuewild für Wildcard-Zertifikate und abschließend die Registrierungstelle (in Anführungszeichen) oder ";" für keine Registrierungstelle. Wenn issuewild  nicht gesetzt ist, schließt issue  auch Wildcard-Zertifikate ein.

Für die Registrierungsstelle Let's Encrypt ergibt sich folgender Wert für den CAA-Eintrag: 0 issue "letsencrypt.org"

Beispiele

Wildcard und nicht-Wildcard für Comodo:

test.com. IN CAA 0 issue "comodoca.com"

Zur Autorisierung mehrerer Zertifizierungsstellen müssen für jede eigene CAA-Records angelegt werden, z.B. für Wildcard und nicht-Wildcard für Comodo und Let's Encrypt:

test.com. IN CAA 0 issue "comodoca.com"
test.com. IN CAA 0 issue "letsencrypt.org"

CAA-Records für Comodo ohne Wildcard:

test.com. IN CAA 0 issue "comodoca.com"
test.com. IN CAA 0 issuewild ";"

Ausschließlich Wildcard-Zertifikate von Comodo:

test.com. IN CAA 0 issue ";"
test.com. IN CAA 0 issuewild "comodoca.com"

Variomedia stellt ausschließlich Zertifikate von Comodo und Let's Encrypt aus.


CAA
Comodo
Let's Encrypt
SSL-Zertifikat
Wildcard