CAA-Eintrag - Eine Zertifizierungsstelle festlegen

Die CAA - Einträge bestimmen die Ausstellerpräferenz bei der Einrichtung eines SSL/TLS-Zertifikats für eine bestimmte Domain. Sie dienen dem Zweck, die Ausstellung gefälschter Zertifikate zu verhindern und somit die Vertrauenswürdigkeit einer Https-Verbindung mit dem Server zu erhöhen.

Durch einen CAA-Eintrag wird in der DNS festgelegt welche Zertifizierungsstelle ein SSL-Zertifikat für eine Domain ausstellen darf, gegebenenfalls wer darauf hingewiesen werden soll, falls jemand versucht ein Zertifikat unberechtigterweise auszustellen.

Ein CAA-Eintrag bestimmt jeweils eine Zertifizierungsstelle (CA). Bei einer Domain können jedoch mehrere, sich ergänzende CAA-Einträge eingestellt sein.

Für die Nutzung eines SSL/TLS-Zertifikats ist ein CAA-Eintrag nicht unbedingt erforderlich. Ist kein CAA-Eintrag angelegt, kann ein SSL/TLS-Zertifikat von jeder beliebigen Zertifizierungsstelle ausgestellt werden.

 

Die Struktur eines CAA-Eintrags wird definiert durch:

Flags: bestimmt den Schweregrad des Konflikts bei Regelverstoß bei einem CAA-Eintrag (in der Regel "0" angegeben)

TAG:   issue - die Domain 
       issuewild - alle Subdomains 
       iodef - eine Webseite oder eine E-Mail-Adresse bei Regelverstoß

Value: Zeichenfolge (z.B. eine URL oder eine E-Mail-Adresse)


Ein Anwendungsbeispiel eines CAA-Eintrags:

In den meisten Fällen genügt es die Hauptdomain (issue), gegebenenfalls ihre Subdomains (issuewild) anzugeben.

Es könnte jedoch vorkommen, dass auf einer Subdomain ein Onlineshop laufen soll. Für diese Subdomain wäre deswegen ein sichereres Zertifikat, als für die restlichen Domains notwendig. Und in so einem Fall könnten die einzelnen, sich gegenseitig ergänzenden Regeln ineinandergreifen.

Gleichzeitig können Sie also eine bestimmte Zertifizierungsstelle für eine konkrete Subdomain und eine andere Zertifizierungsstelle für alle restlichen Domains festlegen.

Auf die gleiche Weise bestimmen Sie eine konkrete Kontakt-E-Mail-Adresse bei der Subdomain, beispielsweise die des Onlineshop-Verwalters, sowie eine weitere E-Mail-Adresse bei der Hauptdomain.

domena.xy.      1800 IN CAA 0 issue "letsencrypt.org"      - für die Hauptdomain darf nur die "Let's Encrypt" ausstellen
domena.xy.      1800 IN CAA 0 issuewild "rapidssl.com"     - für alle Subdomains (*.domena.xy) darf nur die "RapidSSL" ausstellen 
sub.domena.xy.  1800 IN CAA 0 issue "thawte.com"           - für diese Subdomain stellt das Zertifikat die "Thawte" aus
sub.domena.xy.  1800 IN CAA 0 iodef "mailto:caa@domena.xy" - bei Regelverstoß wird an "caa@domena.xy" gemeldet