Antworten auf Ihre häufigsten Fragen

Was ist ein CAA-Record und wie funktioniert er?

Dieser Artikel erklärt kurz, was ein CAA-Record oder CAA-Eintrag ist und wie man ihn verwendet.

Was ist ein CAA-Record?

Ein CAA-Record ist ein Eintrag in den DNS-Einstellungen Ihrer Domain, der festlegt, welche Zertifizierungsstelle (Certification authority (CA)) ein SSL-Zertifikat für die Domain ausstellen darf.
Dies ist eine Sicherheitsmaßnahme, die verhindern soll, dass SSL-Zertifikate von einer nicht dazu berechtigten Stelle für die Domain ausgestellt werden dürfen.

 

Wie sieht ein CAA-Eintrag aus?

Wenn man den CAA-Record mit einem Tool über die Kommandozeile abfragt, z.B. mittels host -t caa $DOMAIN bekommt man eine Rückmeldung wie die Folgende:

example.com. IN CAA 0 issue "godaddy.com"

In diesem Beispiel darf nur "godaddy.com" ein SSL-Zertifikat für die Domain ausstellen, was auch unseren Partner Starfield Technologies umfasst.

Typischerweise treten Probleme auf, wenn eine Domain auf einen externen Anbieter (per CNAME) verweist und dieser Anbieter eigene Einstellung nutzt und auch selbst Zertifikate für dessen Dienstleistungen anbietet. In diesem Fall sollten Sie dort nachfragen, was zu tun ist. Unser Zertifikat benötigen Sie dann nicht.

 

Brauche ich einen CAA-Eintrag und wie müsste er aussehen, damit Host Europe mir ein SSL-Zertifikat ausstellen kann?

Sie brauchen keinen CAA-Eintrag, damit wir Ihnen ein SSL-Zertifikat ausstellen können.

Wenn Sie aus Sicherheitsgründen einen CAA-Eintrag einsetzen möchten, dann muss er aussehen, wie oben beschrieben, muss also auf "godaddy.com" verweisen.  Wenn Sie einen CAA-Eintrag haben, der nicht auf "godaddy.com" verweist, muss er entweder korrigiert oder entfernt werden.
Bitte beachten Sie, dass Sie aktuell im KIS keinen CAA-Eintrag setzen können, dies ist aber bei selbstadministrierten Systemen (z.B. Root Server, Virtual Server) mit eigenem Nameserver-Dienst möglich.

 


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de