CAA Record

CAA Record

Mit dem CAA (Certification Authority Authorization) Eintrag legen Sie fest, welche Zertifizierungsstellen dazu berechtigt sind, Zertifikate für Ihren Domainnamen oder bestimmte Subdomains auszustellen. So soll vermieden werden, dass Ihnen unbekannte Zertifizierungsstellen Zertifikate ausstellen. Seit 8. September 2017 sind alle vom CA/Browser Forum (Konsortium der wichtigsten Browser Hersteller und Zertifizierungsstellen) akzeptierten Zertifizierungsstellen (Certificate Authorities - CA) dazu verpflichtet, bei der Ausstellung von Zertifikaten CAA Einträge zu überprüfen und diese zu berücksichtigen. Der Eintragstyp CAA ist im RFC6844 ausführlich beschrieben.

Format eines CAA Records

name IN CAA flag tag value

Ein CAA Eintrag besteht aus einem sogenannten Issuer Critical Flag, kurz flag, der Eigenschaft (tag) und dem Wert (value) dieser Eigenschaft.
Als Flag sind aktuell nur die Werte 0 und 1 (critical) erlaubt. Bei den Eigenschaften sind die Begriffe issue, issuewild und iodef definiert. Für die künftige Verwendung als weitere Eigenschaften sind die Begriffe auth, path und policy reserviert.
Mit issue wird festgelegt, welche CA Zertifikate für eine Domain ausstellen darf. Mit issuewild wird festgelegt, welche CA WildCard-Zertifikate für eine Domain ausstellen darf. Mit iodef kann eine E-Mail-Adresse oder URL angegeben werden, welche bei Problemen bei der Zertifikatsausstellung (z.B. Verstoß gegen eine issue-Regel) kontaktiert werden soll.
Bei value handelt es sich um den im Klartext hinterlegten Wert des CAA Eintrags.

Wenn Sie einen DNS CAA Eintrag für eine Domain (@ IN CAA) setzen, gilt dieser auch für alle Subdomains Ihrer Domain, sofern kein eigener IN CAA Eintrag für diese Subdomain gesetzt wird. In der Praxis werden üblicherweise mehrere CAA Einträge für eine Domain gesetzt.
Unsere Nameserver liefern, wie in der Spezifikation vorgesehen, bei Anfragen für den Typ CAA alle vorhandenen Einträge gemeinsam aus.

Beispiele für CAA Records

    • Es dürfen generell keine Zertifikate für eine Domain ausgestellt werden
      @ IN CAA 0 issue ";"
      CAA-Record Bild1

    • Eine bestimmte Zertifizierungsstelle darf Zertifikate für eine Domain ausstellen
      @ IN CAA 0 issue "symantec.com"
      CAA-Record Bild2

    • Eine bestimmte Zertifizierungsstelle darf WildCard-Zertifikate (*.domain.tld) für eine Domain ausstellen
      @ IN CAA 0 issuewild "symantec.com"
      CAA-Record Bild3

    • Eine E-Mail-Adresse für Benachrichtigungen zu Verstößen der festgelegten CAA Regeln festlegen
      @ IN CAA 0 iodef "mailto:example@example.tld"
      CAA-Record Bild4

  • Eine bestimmte Zertifizierungsstelle darf Zertifikate ausstellen, niemand darf WildCard-Zertifikate ausstellen, Benachrichtigungen zu Verstößen sollen per E-Mail gemeldet werden:
    @ IN CAA 0 issue "symantec.com"
    @ IN CAA 0 issuewild ";"
    @ IN CAA 0 iodef "mailto:example@example.tld"
    CAA-Record Bild5
  • 12 Benutzer fanden dies hilfreich
War diese Antwort hilfreich?

Verwandte Beiträge

A Record

A Record Der A Record ist ein Adresseintrag, der die Domain oder eine Subdomain auf eine...

AAAA Record

AAAA Record Der AAAA Record ist ein Adresseintrag, der die Domain oder eine Subdomain auf...

CNAME Record

CNAME Record Ein IN CNAME Eintrag wird verwendet, um eine Subdomain auf einen anderen...

DNAME Record

DNAME Record Ein DNAME (Delegation Name Record) Resource Record ist dem CNAME-Eintrag sehr...

MX Record

MX Record Mit dem MX Resource Record wird festgelegt, welche(r) Server mit welcher Priorität...

Powered by WHMCompleteSolution