CAA-Record

Nach RFC 8659

Welche CAs Zertifikate für Ihre Domain ausstellen dürfen; mit IODEF-Report-Mail bei Verstoß.

Was ist das, und wann brauche ich es?

Was ist das?

CAA (Certification Authority Authorization, RFC 8659) ist ein DNS-Eintrag, der festlegt, welche Zertifizierungsstellen für Ihre Domain TLS-Zertifikate ausstellen dürfen. Eine seriöse CA prüft den CAA-Record vor jeder Ausstellung; passt sie nicht in die Liste, lehnt sie ab.

Damit verhindern Sie, dass eine fremde CA versehentlich oder per Social-Engineering ein gültiges Zertifikat für Ihre Domain ausstellt - was sonst Phishing oder Man-in-the-Middle ermöglichen würde.

Wann brauche ich das?

Pflicht-Eintrag für jede Domain mit eigener Website, eigener Mail oder eigenen APIs. Aufwand: einmaliger DNS-Eintrag, danach passive Schutzwirkung. Wenn Sie Let's Encrypt nutzen, reicht issue "letsencrypt.org".

Zusatz: ein iodef:-Eintrag mit Ihrer Sicherheits-Mailadresse sorgt dafür, dass abgelehnte CAs Sie über den Versuch informieren - frühes Warnsignal für möglichen Domain-Missbrauch.

Erlaubte CAs (issue / issuewild getrennt, mit optionalem Account-Pinning)
DNS CAA Records (DNS-RR-Typ 257) nach RFC 8659
example.com.	CAA	0 issue "letsencrypt.org"
example.com.	CAA	0 issuewild ";"
example.com.	CAA	0 iodef "mailto:security@example.com"

Kostenlos, ohne Gewähr (Best-Effort). Erzeugte wie geprüfte Angaben sind unverbindlich; für fehlerhafte oder unvollständige Ergebnisse und Konfigurationen übernehmen wir keine Haftung. Anwendung und Prüfung erfolgen in eigener Verantwortung, vor dem Produktiveinsatz bitte testen.

Free, no warranty (best effort). Generated and inspected values are non-binding; we accept no liability for erroneous or incomplete results or configurations. Use and verification are your own responsibility; please test before production use.

CAA-Records werden vom Nameserver für die Domain veröffentlicht. CAs prüfen vor der Cert-Ausstellung den CAA-Eintrag und folgen der Override-Semantik nach RFC 8659 § 3: sie laufen vom FQDN aufwärts und nehmen den ersten Knoten mit CAA-Records. Eine Subdomain mit eigenen CAA-Einträgen überschreibt damit die Apex-Policy komplett; additive Vererbung gibt es nicht.

issue erlaubt Standard-Zertifikate. issuewild ist separat und gilt nur für Wildcard-Zertifikate. Wer Wildcards generell ausschließen will, setzt nur issuewild ";"; wer Wildcards einer engeren CA-Auswahl vorbehalten will, listet hier gezielt die zugelassenen CAs.

accounturi (RFC 8657) bindet die Cert-Ausstellung an einen bestimmten ACME-Account-URI: Selbst wenn ein Angreifer die DNS-01- oder HTTP-01-Validierung gewinnt, ohne Kontrolle über den genannten Account kann er keine Zertifikate ausstellen. validationmethods beschränkt zusätzlich die zulässigen ACME-Challenges (typisch dns-01 für Domains mit DNSSEC).

Beim DNS-Provider wird in der UI typischerweise der Record-Typ "CAA" oder "TYPE257" gewählt; der hier ausgegebene Zonefile-Syntax ist BIND-typisch.

Bestehende CAA-Records prüfen

Liest die CAA-Records der Domain und prüft Vollständigkeit (issue/issuewild/iodef).

Probieren mit:

Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.

So tragen Sie diesen Record beim DNS-Provider ein

Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt - nur das Menü-Wording unterscheidet sich.

INWX (Dernium-Standard für Neukunden)
  1. Login bei www.inwx.de.
  2. Reiter Nameserver → Domain auswählen → Nameserver-Sets verwaltenDNS-Einträge.
  3. Knopf Neuen Eintrag anlegen.
  4. Typ wählen (z. B. TXT), Hostname eintragen (für die Stamm-Domain das Feld leer lassen, sonst _dmarc o. Ä.), Wert einfügen, TTL bei 3600 belassen.
  5. Speichern. Propagation üblich innerhalb von 5-15 Minuten.
Strato
  1. Login im Strato-Kundenservicebereich.
  2. Menü Domains → Domain auswählen → Verwalten.
  3. Abschnitt DNS-VerwaltungNameserver/DNS-Einstellungen anpassen.
  4. Bei Eigene DNS-Verwaltung den passenden Record-Typ wählen (TXT-Records sind ein eigener Block), Hostname und Wert einfügen.
  5. Speichern. Strato propagiert typisch innerhalb 30-60 Minuten.
Hetzner DNS-Console
  1. Login bei dns.hetzner.com.
  2. Zone der Domain anklicken.
  3. Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
  4. Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
  1. Login im IONOS-Kundencenter.
  2. Menü Domains & SSL → Domain anklicken → DNS.
  3. Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
  4. Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
  1. Login bei Cloudflare, Domain auswählen.
  2. Reiter DNSRecords.
  3. Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
  4. Speichern. Propagation üblich unter 2 Minuten.

Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können sich bei Redesigns leicht verschieben.