Die CAA - Einträge bestimmen die Ausstellerpräferenz bei der Einrichtung eines SSL/TLS-Zertifikats für eine bestimmte Domain. Sie dienen dazu, die Ausstellung gefälschter Zertifikate zu verhindern und somit die Vertrauenswürdigkeit einer Https-Verbindung mit dem Server zu erhöhen.
Durch einen CAA-Eintrag wird in der DNS festgelegt welche Zertifizierungsstelle ein SSL-Zertifikat für eine Domain ausstellen darf, gegebenenfalls wer darauf hingewiesen werden soll, falls jemand versucht ein Zertifikat unberechtigterweise auszustellen.
Ein CAA-Eintrag bestimmt jeweils eine Zertifizierungsstelle (CA). Bei einer Domain können jedoch mehrere, sich ergänzende CAA-Einträge eingestellt sein.
Für die Nutzung eines SSL/TLS-Zertifikats ist ein CAA-Eintrag nicht unbedingt erforderlich. Ist kein CAA-Eintrag angelegt, kann ein SSL/TLS-Zertifikat von jeder beliebigen Zertifizierungsstelle ausgestellt werden.
Die Struktur eines CAA-Eintrags wird definiert durch:
Flags: bestimmt den Schweregrad des Konflikts bei Regelverstoß bei einem CAA-Eintrag (in der Regel "0" angegeben)
TAG: issue - die Domain
issuewild - alle Subdomains
iodef - eine Webseite oder eine E-Mail-Adresse bei Regelverstoß
Value: Zeichenfolge (z.B. eine URL oder eine E-Mail-Adresse)
Ein Anwendungsbeispiel eines CAA-Eintrags:
In den meisten Fällen genügt es die Hauptdomain (issue), gegebenenfalls ihre Subdomains (issuewild) anzugeben.
Sollte auf einer Subdomain ein Onlineshop eingerichtet werden, müsste für diese Subdomain ein viel sichereres Zertifikat, als für die restlichen Domains verwendet werden. Und in so einem Fall können die einzelnen, sich gegenseitig ergänzenden Regeln ineinandergreifen.
Sie können also eine bestimmte Zertifizierungsstelle für eine konkrete Subdomain und gleichzeitig eine andere Zertifizierungsstelle für die restlichen Domains festlegen.
Auf die gleiche Weise bestimmen Sie eine konkrete Kontakt-E-Mail-Adresse bei der Subdomain, beispielsweise die des Onlineshop-Verwalters, sowie eine weitere E-Mail-Adresse bei der Hauptdomain.
domena.xy. 1800 IN CAA 0 issue "letsencrypt.org" - für die Hauptdomain darf nur die "Let's Encrypt" ausstellen domena.xy. 1800 IN CAA 0 issuewild "rapidssl.com" - für alle Subdomains (*.domena.xy) darf nur die "RapidSSL" ausstellen sub.domena.xy. 1800 IN CAA 0 issue "thawte.com" - für diese Subdomain stellt das Zertifikat die "Thawte" aus sub.domena.xy. 1800 IN CAA 0 iodef "mailto:caa@domena.xy" - bei Regelverstoß wird an "caa@domena.xy" gemeldet