Was ist ein CAA-Eintrag?

Ein SSL-Zertifikat für Ihre Domain trägt mit einem großen Mehrwert zur Sicherheit bei. Erfahren Sie hier, warum ein CAA-DNS-Eintrag die Sicherheit noch einmal verbessert!

Wie bekannt ist, bestehen DNS-Zonen aus verschiedenen Records (Einträgen). Einer dieser möglichen Einträge ist der CAA-Eintrag. Dieser legt fest, welche Zertifikatsstelle ein SSL-Zertifikat für die Domain ausstellen darf. Dabei soll verhindert werden, dass nicht berechtigte Stellen SSL-Zertifikate für die Domain erstellen können.

Wieso sollte man einen CAA-Eintrag einrichten?

Sicherheit ist ein wichtiger Aspekt in der IT, deshalb möchte man natürlich jede Möglichkeit nutzen, seinen Internetauftritt gegenüber Angreifern abzusichern. Deshalb erklären wir Ihnen in diesem Beitragen, wie ein CAA-Eintrag zur Sicherheit beiträgt.

Wie verwende Sie einen CAA-Eintrag korrekt?

Es ist an sich nicht notwendig, einen CAA-Eintrag zu erstellen, um ein SSL-Zertifikat ausstellen zu lassen. Jedoch verhindert es, dass Angreifer SSL-Zertifikate bei einer Vergabestelle in Ihrem Namen beantragen und ggf. sogar zugeteilt bekommen.

Es ist für Sie auch im Rahmen von Ihrem Webhosting-Paket bei uns möglich, einen CAA-Eintrag für Ihre Domain zu erstellen. Dabei besuchen Sie einfach Ihr Kunden-Portal unter mein.manitu.de und navigieren auf den Menü-Punkt Forward-DNS. Wir legen diesen in der Regel schon für alle neuen Zonen, sodass dieser mit Let's Encrypt und unseren Webhosting-Paketen kompatibel ist, für Sie an.

Ein CAA-Eintrag kann wie folgt aussehen:

IhreDomain.tld  IN  CAA  0   issue "manitu.de"

In diesem Beispiel wird nur manitu.de dazu berechtigt, SSL-Zertifikate für die Domain IhreDomain.tld zu erstellen.

Dabei zu beachten ist jedoch, dass die aktualisierte Version der DNS-Zone erst wieder neu im Internet verteilt werden muss, damit jeder Anbieter eine aktuelle Zone vorhält. In der Regel dauert dieser Prozess 24 Stunden.

Wie ist ein CAA-Eintrag aufgebaut?

Der Aufbau eines CAA-Eintrag verfügt über einen Flag und einer Eigenschaft. Hierbei gibt es 0 bis 255 unterschiedliche Flags. An dieser Stelle wird bestimmt, wie eine Zertifikatsstelle den CAA-Record berücksichtigen soll. Die Wichtigsten sind hierbei 0 (nicht kritisch) und 128 (kritisch).

Dabei steht nicht kritisch dafür, dass Zertifizierungsstellen alle Einträge im CAA-Eintrag ignoriert, wenn diese nicht ausgewertet werden können.

Wiederum steht kritisch dafür, dass Zertifizierungsstellen kein Zertifikat ausstellen, wenn die Einträge im CAA-Eintrag nicht ausgewertet werden können.

Des Weiteren können Sie im Rahmen der Erstellung eines CAA-Eintrags folgende drei Eigenschaften auswählen.

Issue - Zertifizierungsstelle festlegen. Dabei wird festgelegt, welche genannte Zertifizierungsstelle ein Zertifikat für die Domain ausstellen darf.
Issuewild - Zertifizierungsstelle darf Wildcard-Zertifikate ausstellen. Hierbei wird festgelegt, dass die Zertifizierungsstelle, die als Wert eingetragen ist, dazu berechtigt ist, für die Domain-Wildcard-Zertifikate auszustellen. Dabei können keine spezifischen Zertifikate für einzelne Domains oder Subdomains erstellt werden. Dazu müsste ein zusätzlicher CAA-Eintrag mit der Eigenschaft Issue erstellt werden.
Iodef - Zertifizierungsstelle eine E-Mail-Adresse zur Kontaktaufnahme bereitstellen. Bei dieser Eigenschaft ist es möglich, der Zertifizierungsstelle eine Kontakt-E-Mail-Adresse oder eine URL zu hinterlegen. Jedoch unterstützen nicht alle Zertifizierungsstellen diese Eigenschaft an.

DNS DNS-Einträge Let's Encrypt SSL SSL-Zertifikat