+49 (0) 7245 919 581 info@eunetic.com
Login
  1. Home
  2. EuropeanSSL Wissensdatenbank
  3. EuropeanSSL Bestellvorgang
  4. CAA-Eintrag in DNS-Einstellungen für SSL-Zertifikat und Missbrauchsschutz
europeanSSL
Wissensdatenbank

Was ist ein CAA-Eintrag und wie funktioniert er?

Um die eigene Webseite vor Missbrauch zu schützen, kann es sinnvoll sein, einen CAA-Eintrag (="Certificate Authority Authorization") in den DNS-Einstellungen der eigenen Domain aufzunehmen. Durch diesen DNS-Typ wird festgelegt, welche Zertifizierungsstellen autorisiert sind, für eine Domain ein SSL-Zertifikat auszustellen.

Im März 2017 hat das CA-/Browser-Forum eine Richtlinie erlassen, die alle Zertifizierungsstellen ab dem 09.09.2017 verpflichtet vor der Ausstellung und Verlängerung eines Zertifikats die CAA-Einträge einer Domain zu überprüfen. Ist für eine Domain kein CAA-Eintrag erstellt worden, dann darf jede Zertifizierungsstelle ein entsprechendes Zertifikat für diese Domain ausstellen. Ist allerdings CAA-Eintrag vorhanden, dann darf die Zertifizierungsstelle nur ein Zertifikat ausstellen, wenn diese durch einen solchen Eintrag autorisiert wurde.

Die Überprüfung der CAA-Einträge erfolgt von der Subdomain-Ebene aufwärts. Das bedeutet, besitzt eine Subdomain keinen CAA-Eintrag, dann überprüft die Zertifizierungsstelle die nächsthöhere Domain-Ebene bis die Hauptdomain erreicht wurde. Für eine Subdomain können andere CAA-Einträge gelten als für die übergeordnete Domain-Ebene. So können theoretisch unterschiedliche Zertifizierungsstellen autorisiert werden. In der Regel wird jedoch ein CAA-Eintrag nur für die Hauptdomain erstellt.

Wie ist ein CAA-Eintrag aufgebaut?

Ein CAA-Eintrag kann wie folgt aussehen:

ihredomain.tld
IN
CAA
0
issue
"trust-provider.com"
Domainname

DNS-Typ
Flag
Eigenschaft
Zertifizierungsstelle


Der Zielwert eines CAA-Eintrags besteht aus einer Flag, einer Eigenschaft sowie der zuzulassenden Zertifizierungsstelle.

  • Flag
    Die Flag gibt an, wie eine Zertifizierungsstelle einen CAA-Eintrag berücksichtigen soll. Als Wert können hierbei 0 bis 255 eingetragen werden. Die wichtigsten Werte sind hierbei 0, was für nicht kritisch steht und 128, was kritisch bedeutet. "Nicht kritisch" steht dafür, dass die Zertifizierungsstellen alle Einträge im CAA-Einträge igonieren sollen, sofern diese nicht ausgewertet werden können. "Kritisch" wiederum steht dafür, dass die Zertifizierungsstellen kein Zertifikat ausstellen sollen, wenn die Einträge im CAA-Eintrag nicht ausgewertet können.
  • Eigenschaften
    Es gibt 3 Eigenschaften, die im CAA-Eintrag verwendet werden können:
    • issue
      Dieser Wert gibt an, welche Zertifizierungsstellen ein Zertifikat für die Domain ausstellen dürfen. Er muss für alle Zertifikate verwendet werden, die kein Wildcard-Zertifikat sind
    • issuewild
      Dieser Wert gibt an, welche Zertifizierungsstellen ein Wildcard-Zertifikat für eine Domain ausstellen dürfen. Wird dieser Wert nicht gesetzt, dann wird gilt die Vorgabe aus issue auch für Wildcard-Zertifikate.
    • iodef
      Mit dieser Eigenschaft können Sie Kontaktdaten für die Zertifizierungsstellen anbieten. Die Angabe ist allerdings nur optional. Auch unterstützen viele Zertifizierungsstellen diese Eigenschaft nicht.

Welchen CAA-Eintrag muss ich verwenden, um EuropeanSSL für meine Domain zu autorisieren?

Damit wir authorisiert sind für Ihre Domain ein SSL-Zertifikat zu erstellen, verwenden Sie bitte den Ausdruck "trust-provider.com" in Ihren DNS-Einstellungen. Der Eintrag müsste dann wie folgt lauten:

domain.tld IN CAA 0 issue "trust-provider.com"
domain.tld IN CAA 0 issuewild "trust-provider.com"
Verwandte Themen: Zurück zum Inhaltsverzeichnis...
Empfanden Sie diesen Artikel als hilfreich?
Nein Ja
Wir verwenden Cookies für die technische Funktionalität dieser Website. Mit Ihrer Zustimmung erfassen wir außerdem Seitenaufrufe und andere statistische Daten in anonymisierter Form.

Nur notwendige
Allen zustimmen
Einzeln auswählen
Cookie-Einstellungen
Datenschutzbestimmungen lesen