CAA-Record: DNS-Eintrag für Zertifikatssicherheit erklärt

Ein CAA-Record (Certification Authority Authorization) ist ein Eintrag im Domain Name System (DNS), der festlegt, welche Zertifizierungsstellen (Certificate Authorities, kurz CAs) für eine bestimmte Domain SSL/TLS-Zertifikate ausstellen dürfen. Der CAA-Record dient als Sicherheitsmechanismus, um die unautorisierte Ausstellung von Zertifikaten zu verhindern und ist insbesondere im Kontext von https">HTTPS und Webserver-Sicherheit relevant.

Technische Funktion des CAA-Records

Wird für eine Domain ein SSL-Zertifikat beantragt, prüft die angefragte Zertifizierungsstelle (CA), ob ein CAA-Eintrag existiert. Falls ja, darf die CA nur dann ein Zertifikat ausstellen, wenn sie dort ausdrücklich als autorisierte Ausstellerin genannt ist. Andernfalls muss die Anfrage abgelehnt werden. Das DNS-System agiert damit als öffentlich einsehbares Kontrollinstrument für die Zertifikatsausstellung.

meine-domain.de.   IN   CAA   0 issue "letsencrypt.org"

Dieser Eintrag bedeutet: Nur letsencrypt.org darf SSL-Zertifikate für meine-domain.de ausstellen.

Aufbau eines CAA-Records

Ein CAA-Record besteht aus drei Komponenten:

• Flag: Meist 0; bei 128 ist der Eintrag als kritisch markiert
• Tag: z. B. issue, issuewild, iodef
• Value: Die autorisierte Zertifizierungsstelle oder Meldungsadresse

Gängige CAA-Tags

Vorteile von CAA-Records

• Erhöhte Kontrolle über die Zertifikatsausstellung für eigene Domains
• Schutz vor Missbrauch durch kompromittierte oder fehlerhafte CAs
• Transparenz durch öffentlich einsehbare DNS-Informationen
• Einfach implementierbar in bestehende DNS-Zonen

Nachteile und Einschränkungen

• Nur sinnvoll, wenn alle DNS-Server und Zertifizierungsstellen CAA-konform arbeiten
• Fehlkonfiguration kann legitime Zertifikatsanforderungen blockieren
• Wird von manchen Registraren oder DNS-Tools nicht standardmäßig unterstützt

Beispiele für typische CAA-Konfigurationen

; Nur Let's Encrypt erlaubt
meine-domain.de.  IN  CAA 0 issue "letsencrypt.org"

; Sectigo für Wildcards, Let's Encrypt für normale Zertifikate
meine-domain.de.  IN  CAA 0 issue "letsencrypt.org"
meine-domain.de.  IN  CAA 0 issuewild "sectigo.com"

; Bei Verstoß Benachrichtigung per E-Mail
meine-domain.de.  IN  CAA 0 iodef "mailto:admin@meine-domain.de"

Überprüfung von CAA-Records

• dig meine-domain.de CAA
• nslookup -type=CAA meine-domain.de
• openssl s_client -connect meine-domain.de:443 -showcerts + Prüfung der CA

Plesk-Kompatibilität und Hinweise

In Plesk lassen sich CAA-Einträge unter dem Menüpunkt „DNS-Einstellungen“ einer Domain manuell hinzufügen. Die Einträge sind nicht automatisch aktiv – der Administrator muss sie gezielt konfigurieren. Wichtig ist, dass der verwendete DNS-Server CAA unterstützt (z. B. BIND ≥ 9.9.6 oder PowerDNS ≥ 4).

Empfehlungen zur Nutzung von CAA-Records

• Setzen Sie CAA-Records, um den unkontrollierten Zertifikatsausstellungen durch Dritte vorzubeugen.
• Definieren Sie nur jene CAs, denen Sie vertrauen – typischerweise Ihr SSL-Anbieter.
• Fügen Sie iodef-Einträge hinzu, um über Fehlversuche benachrichtigt zu werden.
• Prüfen Sie die CAA-Konfiguration nach jedem DNS-Update oder php">domain-umzug.php">Providerwechsel.

Fazit zum CAA-Record

Der CAA-Record ist ein einfacher, aber wirksamer DNS-Eintrag zur Absicherung Ihrer Domain gegen unerwünschte oder betrügerische SSL-Zertifikatsausstellungen. Er erhöht die Transparenz und Kontrolle über die Sicherheit der eigenen Webpräsenz und sollte in modernen DNS-Zonen standardmäßig implementiert werden – insbesondere im professionellen Hosting- und E-Commerce-Umfeld.

Haftungsausschluss: Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.