Hilfe :: Reseller-Hosting
CAA steht für Certificate Authority Authorization. Mit diesem Standard können Domaininhaber per DNS Eintrag definieren, welche CA Zertifizierungsstelle für die Domain Zertifikate ausstellen darf.
Ab sofort müssen diese Einträge bei Ausstellung von Zertifikaten geprüft werden. Stimmt die im DNS angegebene Zertifizierungsstelle nicht überein, darf kein Zertifikat ausgestellt werden.
Den in RFC 6844 beschriebenen Standard gibt es bereits seit 2013. Bisher war er allerdings freiwillig. Seit dem 6. September 2017 ist dieser jedoch verpflichtend.
Es können in den DNS Eintragen drei Eigenschaften festgelegt werden: issue, issuewild und iodef.
Über das Feld issue wird die CA eingetragen, die für diese Domain berechtigt ist ein Zertifikat auszustellen. Dieser Eintrag vererbt sich auf die Subdomains. Für Subdomains kann dies aber auch überschrieben werden, indem eine eigene issue-Eigenschaft für diese definiert wird.
Die Eigenschaft issuewild funktioniert genauso wie issue, nur das hiermit Wildcard Zertifikate erlaubt werden. Ein spezifisches Zertifikat, z.B. für pixelx.de darf mit diesem Eintrag nicht ausgestellt werden, sondern nur *.pixelx.de. Dafür ist der issue Eintrag zusätzlich notwendig.
Ab Januar 2018 plant letsencrypt.org auch Wildcardzertifikate auszustellen.
Mit dem Feld iodef kann eine Kontaktmöglichkeit angegeben werden. Diese wird bei Fehlern genutzt. Bisher unterstützen nicht alle Zertifizierungsstellen diese Eigenschaft. Es gibt entweder die Möglichkeit eine E-Mail Adresse zu hinterlegen im Format mailto:info@meinedomain.tld oder eine HTTP / HTTPS-URL, die per Post aufgerufen wird. Die Unterstützung der URL ist optional und wird daher von vielen Zertifizierungsstellen noch nicht berücksichtigt.
| Domain | TTL | Class | Flag | Wert | |
| meinedomain.tld | 3600 | IN | CAA | 128 issue | "letsencrypt.org" |
| meinedomain.tld | 3600 | IN | CAA | 128 issuewild | "letsencrypt.org" |
| meinedomain.tld | 3600 | IN | CAA | 128 iodef | "mailto:info@meinedomain.tld" |
Um den CAA Record für Ihre verwalteten Domains zu setzen, melden Sie sich mit Ihren Reseller Zugangsdaten im Domaintool an. Gehen Sie dort nun auf Zonenverwaltung und wählen Sie dort die gewünschte Domain aus. Hierzu können Sie auch die Suchfunktion unter Suche benutzen. Klicken Sie die Domain per Doppelklick an.
Wechsel Sie in den Reiter Zusätzliche Nameserver-Einträge. Legen Sie nun dort mit dem Button + neue Einträge an. Füllen Sie diese wie im Beispiel angegeben. Beim iodef-Eintrag tragen Sie hinter mailto: Ihre E-Mail Adresse ein.
| Name | TTL | RR-Typ | Pref | Wert |
| meinedomain.tld | 86400 | CAA | 128 issue "letsencrypt.org" | |
| meinedomain.tld | 86400 | CAA | 128 issuewild "letsencrypt.org" | |
| meinedomain.tld | 86400 | CAA | 128 iodef "mailto:info@meinedomain.tld" |
Speichern Sie danach mit dem Button Übernehmen.
Nutzen Sie dieses Tool um die DNS CAA Einträge Ihrer Domain/Subdomain zu überprüfen. Sie sehen dann direkt, ob diese Einträge bereits zu Ihrer Domain eingetragen sind. Es wird Ihnen angezeigt, welche Zertifizierungsstelle laut CAA Eintrag berechtigt ist SSL/TLS Zertifikate auszustellen: CAA Record prüfen
