Dieser Artikel erklärt kurz, was ein CAA-Record oder CAA-Eintrag ist und wie man ihn verwendet.
Was ist ein CAA-Record?
Ein CAA-Record ist ein Eintrag in den DNS-Einstellungen Ihrer Domain, der festlegt, welche Zertifizierungsstelle (Certification authority (CA)) ein SSL-Zertifikat für die Domain ausstellen darf.
Dies ist eine Sicherheitsmaßnahme, die verhindern soll, dass SSL-Zertifikate von einer nicht dazu berechtigten Stelle für die Domain ausgestellt werden dürfen.
Wie sieht ein CAA-Eintrag aus?
Wenn man den CAA-Record mit einem Tool über die Kommandozeile abfragt, z.B. mittels host -t caa $DOMAIN
bekommt man eine Rückmeldung wie die Folgende:
example.com. IN CAA 0 issue "godaddy.com"
In diesem Beispiel darf nur "godaddy.com" ein SSL-Zertifikat für die Domain ausstellen, was auch unseren Partner Starfield Technologies umfasst.
Brauche ich einen CAA-Eintrag und wie müsste er aussehen, damit Host Europe mir ein SSL-Zertifikat ausstellen kann?
Sie brauchen keinen CAA-Eintrag, damit wir Ihnen ein SSL-Zertifikat ausstellen können.
Wenn Sie aus Sicherheitsgründen einen CAA-Eintrag einsetzen möchten, dann muss er aussehen, wie oben beschrieben, muss also auf "godaddy.com" verweisen. Wenn Sie einen CAA-Eintrag haben, der nicht auf "godaddy.com" verweist, muss er entweder korrigiert oder entfernt werden.
Bitte beachten Sie, dass Sie aktuell im KIS keinen CAA-Eintrag setzen können, dies ist aber bei selbstadministrierten Systemen (z.B. Root Server, Virtual Server) mit eigenem Nameserver-Dienst möglich.