Um die eigene Webseite vor Missbrauch zu schützen, kann es sinnvoll sein, einen CAA-Eintrag (="Certificate Authority Authorization") in den DNS-Einstellungen der eigenen Domain aufzunehmen. Durch diesen DNS-Typ wird festgelegt, welche Zertifizierungsstellen autorisiert sind, für eine Domain ein SSL-Zertifikat auszustellen.
Im März 2017 hat das CA-/Browser-Forum eine Richtlinie erlassen, die alle Zertifizierungsstellen ab dem 09.09.2017 verpflichtet vor der Ausstellung und Verlängerung eines Zertifikats die CAA-Einträge einer Domain zu überprüfen. Ist für eine Domain kein CAA-Eintrag erstellt worden, dann darf jede Zertifizierungsstelle ein entsprechendes Zertifikat für diese Domain ausstellen. Ist allerdings CAA-Eintrag vorhanden, dann darf die Zertifizierungsstelle nur ein Zertifikat ausstellen, wenn diese durch einen solchen Eintrag autorisiert wurde.
Die Überprüfung der CAA-Einträge erfolgt von der Subdomain-Ebene aufwärts. Das bedeutet, besitzt eine Subdomain keinen CAA-Eintrag, dann überprüft die Zertifizierungsstelle die nächsthöhere Domain-Ebene bis die Hauptdomain erreicht wurde. Für eine Subdomain können andere CAA-Einträge gelten als für die übergeordnete Domain-Ebene. So können theoretisch unterschiedliche Zertifizierungsstellen autorisiert werden. In der Regel wird jedoch ein CAA-Eintrag nur für die Hauptdomain erstellt.
Ein CAA-Eintrag kann wie folgt aussehen:
ihredomain.tld | IN | CAA | 0 | issue | "trust-provider.com" |
Domainname | DNS-Typ | Flag | Eigenschaft | Zertifizierungsstelle |
Der Zielwert eines CAA-Eintrags besteht aus einer Flag, einer Eigenschaft sowie der zuzulassenden Zertifizierungsstelle.
Damit wir authorisiert sind für Ihre Domain ein SSL-Zertifikat zu erstellen, verwenden Sie bitte den Ausdruck "trust-provider.com" in Ihren DNS-Einstellungen. Der Eintrag müsste dann wie folgt lauten:
domain.tld IN CAA 0 issue "trust-provider.com"
domain.tld IN CAA 0 issuewild "trust-provider.com"