CAA-Record

Definitionen und Erklärungen zu CAA-Record

Ein CAA-Record

Technische Funktion des CAA-Records

Wird für eine Domain ein SSL-Zertifikat beantragt, prüft die angefragte Zertifizierungsstelle (CA), ob ein CAA-Eintrag existiert. Falls ja, darf die CA nur dann ein Zertifikat ausstellen, wenn sie dort ausdrücklich als autorisierte Ausstellerin genannt ist. Andernfalls muss die Anfrage abgelehnt werden. Das DNS-System agiert damit als öffentlich einsehbares Kontrollinstrument für die Zertifikatsausstellung.


meine-domain.de.   IN   CAA   0 issue "letsencrypt.org"

Dieser Eintrag bedeutet: Nur letsencrypt.org darf SSL-Zertifikate für meine-domain.de ausstellen.

Aufbau eines CAA-Records

Ein CAA-Record besteht aus drei Komponenten:

Flag: Meist 0; bei 128 ist der Eintrag als kritisch markiert
Tag: z. B. issue, issuewild, iodef
Value: Die autorisierte Zertifizierungsstelle oder Meldungsadresse

Gängige CAA-Tags

Tag	Bedeutung	Beispiel
`issue`	Erlaubt einer CA, ein Zertifikat für die Domain auszustellen	`0 issue "letsencrypt.org"`
`issuewild`	Erlaubt Wildcard-Zertifikate (*.meine-domain.de)	`0 issuewild "sectigo.com"`
`iodef`	Gibt eine E-Mail oder URL an, wohin bei Verstößen gemeldet werden soll	`0 iodef "mailto:admin@meine-domain.de"`

Vorteile von CAA-Records

Erhöhte Kontrolle über die Zertifikatsausstellung für eigene Domains
Schutz vor Missbrauch durch kompromittierte oder fehlerhafte CAs
Transparenz durch öffentlich einsehbare DNS-Informationen
Einfach implementierbar in bestehende DNS-Zonen

Nachteile und Einschränkungen

Nur sinnvoll, wenn alle DNS-Server und Zertifizierungsstellen CAA-konform arbeiten
Fehlkonfiguration kann legitime Zertifikatsanforderungen blockieren
Wird von manchen Registraren oder DNS-Tools nicht standardmäßig unterstützt

Beispiele für typische CAA-Konfigurationen


; Nur Let's Encrypt erlaubt
meine-domain.de.  IN  CAA 0 issue "letsencrypt.org"

; Sectigo für Wildcards, Let's Encrypt für normale Zertifikate
meine-domain.de.  IN  CAA 0 issue "letsencrypt.org"
meine-domain.de.  IN  CAA 0 issuewild "sectigo.com"

; Bei Verstoß Benachrichtigung per E-Mail
meine-domain.de.  IN  CAA 0 iodef "mailto:admin@meine-domain.de"

Überprüfung von CAA-Records

dig meine-domain.de CAA
nslookup -type=CAA meine-domain.de
openssl s_client -connect meine-domain.de:443 -showcerts + Prüfung der CA

Plesk-Kompatibilität und Hinweise

In Plesk lassen sich CAA-Einträge unter dem Menüpunkt „DNS-Einstellungen“ einer Domain manuell hinzufügen. Die Einträge sind nicht automatisch aktiv – der Administrator muss sie gezielt konfigurieren. Wichtig ist, dass der verwendete DNS-Server CAA unterstützt (z. B. BIND ≥ 9.9.6 oder PowerDNS ≥ 4).

Empfehlungen zur Nutzung von CAA-Records

Setzen Sie CAA-Records, um den unkontrollierten Zertifikatsausstellungen durch Dritte vorzubeugen.
Definieren Sie nur jene CAs, denen Sie vertrauen – typischerweise Ihr SSL-Anbieter.
Fügen Sie iodef-Einträge hinzu, um über Fehlversuche benachrichtigt zu werden.
Prüfen Sie die CAA-Konfiguration nach jedem DNS-Update oder Providerwechsel.

Fazit zum CAA-Record

Der CAA-Record ist ein einfacher, aber wirksamer DNS-Eintrag zur Absicherung Ihrer Domain gegen unerwünschte oder betrügerische SSL-Zertifikatsausstellungen. Er erhöht die Transparenz und Kontrolle über die Sicherheit der eigenen Webpräsenz und sollte in modernen DNS-Zonen standardmäßig implementiert werden – insbesondere im professionellen Hosting- und E-Commerce-Umfeld.

Alle Angaben ohne Gewähr.