Welche CAs Zertifikate für Ihre Domain ausstellen dürfen; mit IODEF-Report-Mail bei Verstoß.
Was ist das, und wann brauche ich es?
Was ist das?
CAA (Certification Authority Authorization, RFC 8659) ist ein DNS-Eintrag, der festlegt,
welche Zertifizierungsstellen für Ihre Domain TLS-Zertifikate ausstellen dürfen. Eine
seriöse CA prüft den CAA-Record vor jeder Ausstellung; passt sie nicht in die Liste, lehnt
sie ab.
Damit verhindern Sie, dass eine fremde CA versehentlich oder per Social-Engineering ein
gültiges Zertifikat für Ihre Domain ausstellt - was sonst Phishing oder Man-in-the-Middle
ermöglichen würde.
Wann brauche ich das?
Pflicht-Eintrag für jede Domain mit eigener Website, eigener Mail oder
eigenen APIs. Aufwand: einmaliger DNS-Eintrag, danach passive Schutzwirkung. Wenn Sie Let's
Encrypt nutzen, reicht issue "letsencrypt.org".
Zusatz: ein iodef:-Eintrag mit Ihrer Sicherheits-Mailadresse sorgt dafür, dass
abgelehnte CAs Sie über den Versuch informieren - frühes Warnsignal für möglichen
Domain-Missbrauch.
CAA-Records werden vom Nameserver für die Domain veröffentlicht. CAs prüfen vor der
Cert-Ausstellung den CAA-Eintrag und folgen der Override-Semantik nach RFC 8659 § 3: sie laufen vom FQDN aufwärts und nehmen den
ersten Knoten mit CAA-Records. Eine Subdomain mit eigenen CAA-Einträgen überschreibt damit die Apex-Policy
komplett; additive Vererbung gibt es nicht.
issue erlaubt Standard-Zertifikate. issuewild ist separat
und gilt nur für Wildcard-Zertifikate. Wer Wildcards generell ausschließen will, setzt nur issuewild ";"; wer Wildcards einer
engeren CA-Auswahl vorbehalten will, listet hier gezielt die zugelassenen CAs.
accounturi (RFC 8657) bindet die Cert-Ausstellung an einen bestimmten
ACME-Account-URI: Selbst wenn ein Angreifer die DNS-01- oder HTTP-01-Validierung gewinnt, ohne
Kontrolle über den genannten Account kann er keine Zertifikate ausstellen. validationmethods beschränkt zusätzlich die zulässigen ACME-Challenges (typisch dns-01 für Domains mit DNSSEC).
Beim DNS-Provider wird in der UI typischerweise der Record-Typ "CAA" oder "TYPE257" gewählt;
der hier ausgegebene Zonefile-Syntax ist BIND-typisch.
Bestehende CAA-Records prüfen
Liest die CAA-Records der Domain und prüft Vollständigkeit (issue/issuewild/iodef).
Probieren mit:
Server-Pfad: Diese Inspektion läuft NICHT browser-lokal. Wir holen den DNS-Record bzw. die HTTPS-Antwort über unseren Server. Wir loggen weder die abgefragte Domain noch das Ergebnis. 12 Anfragen pro Minute pro IPv4-Adresse bzw. IPv6-/64-Subnet.
So tragen Sie diesen Record beim DNS-Provider ein
Der oben generierte Eintrag besteht aus drei Teilen: dem Record-Typ (typisch
TXT, manchmal CAA), dem Host (Subdomain wie _dmarc, _smtp._tls oder leer für die Stamm-Domain) und dem Wert (der eigentliche
Inhalt in Anführungszeichen). Diese drei Felder werden bei jedem DNS-Provider genauso abgefragt
- nur das Menü-Wording unterscheidet sich.
Knopf Record hinzufügen → Typ wählen, Name eintragen (für Stamm-Domain @), Wert in das Value-Feld.
Speichern. Propagation typisch unter 5 Minuten.
IONOS (1&1)
Login im IONOS-Kundencenter.
Menü Domains & SSL → Domain anklicken → DNS.
Knopf Eintrag hinzufügen → Typ wählen, Hostname eintragen, Wert in das Inhalt-Feld.
Speichern. Propagation typisch 15-60 Minuten.
Cloudflare
Login bei Cloudflare, Domain auswählen.
Reiter DNS → Records.
Knopf Add record → Typ wählen, Name eintragen (für Stamm-Domain @), Wert einfügen, Proxy-Status für TXT/CAA auf DNS only belassen.
Speichern. Propagation üblich unter 2 Minuten.
Hinweis: Wenn Ihr DNS-Anbieter hier nicht aufgeführt ist, finden Sie die richtige Stelle
typisch unter Begriffen wie „DNS-Verwaltung", „Zone-Editor" oder „Records". Bei Fragen hilft
der Support Ihres Providers; die hier gezeigten Pfade sind plattform-spezifisch und können
sich bei Redesigns leicht verschieben.