CAA-Record hinzufügen, ändern oder löschen

Mit einem CAA-Record können Sie als Domain-Inhaber festlegen, welche Zertifizierungsstellen (CAs) für Ihre Domain oder Subdomain Zertifikate ausstellen dürfen. Die Abkürzung CAA steht für Certificate Authority Authorization. 

Durch das Hinzufügen eines CAA-Records  soll verhindert werden, dass fälschlicherweise Zertifikate für eine Domain oder Subdomain ausgestellt und ggf. missbraucht werden.

Wenn Sie einen CAA-Record für eine Domain erstellen, wird dieser auch an die bestehenden Subdomains vererbt. Beispiel: 

Wenn Sie einen CAA-Eintrag für die Domain example.com konfigurieren, gilt dieser auch für die Subdomain www.example.com. 

Bei Bedarf können Sie für jede Domain oder Subdomain auch mehrere CAA-Records hinzufügen. Dies kann z. B. erforderlich sein, wenn Sie der Zertifizierungsstelle sowohl die Ausstellung von spezifische Zertifikaten als auch von Wildcard-Zertifikaten erlauben möchten.

Vor der Ausstellung eines Zertifikats müssen diese CAA-Records von der jeweiligen Zertifizierungsstelle geprüft werden. Diese kann das Zertifikat ausstellen, wenn eine der folgenden Bedingungen erfüllt ist:
 

  • Die Zertifikatsstelle findet keinen CAA-Record für Ihre Domain oder Subdomain.

  • Die Zertifikatsstelle findet einen CAA-Record für Ihre Domain oder Subdomain, die sie autorisiert, ein Zertifikat für Ihre Domain auszustellen.

Hinweise
  • Wenn kein CAA-Record vorhanden ist, darf jede Zertifizierungsstelle ein Zertifikat für die Domain ausstellen. 

  • Wenn ein CAA-Record vorhanden ist, dürfen nur die in den Einträgen aufgeführten Zertifizierungsstellen Zertifikate für die Domain ausstellen. 

Struktur des CAA-Records

Jeder CAA-Record verfügt über einen Flag und eine Eigenschaft. Sie können im Feld Flag entweder 0 (Nicht kritisch) oder 128 (Kritisch) wählen. 

0 (Nicht kritisch): Wenn Sie diesen Flag setzen, werden die Zertifzierungsstellen alle Eintragungen im CAA-Record ignorieren, die nicht ausgewertet werden können.

128 (Kritisch): Wenn Sie diesen Flag setzen, werden die Zertifzierungsstellen kein Zertifikat ausstellen, wenn die Eintragungen im CAA-Record nicht ausgewertet werden können.

Typ

Sie können im Rahmen der Erstellung eines CAA-Records eine der folgenden 3 Eigenschaften auswählen:

  • Issue – Zertifzierungsstelle (CA) festlegen: Legt fest, dass die Zertifizierungsstelle, die im Feld Wert definiert ist, ein Zertifikat für die Domain oder Subdomain ausstellen darf.

  • Issuewild – Zertifizierungsstelle darf Wildcard-Zertifikate ausstellen: Legt fest, dass die Zertifizierungsstelle, die im Feld Wert definiert ist, Wildcard-Zertifikate für die Domain oder Subdomain ausstellen darf. Wenn Sie die Eigentschaft Issuewild auswählen, darf die Zertifizierungsstelle kein spezifisches Zertifikat für die Domain ausstellen. Damit die Zertifizierungsstelle auch spezifische Zertifikate für die Domain erstellen darf, müssen Sie einen separaten CAA-Eintrag mit der Eigenschaft Issue Issue – Zertifzierungsstelle (CA) festlegen.

  • Iodef –Zertifierungsstelle (CA) eine E-Mail-Adresse zur Kontaktaufnahme bereitstellen: Wenn Sie diese Eigenschaft auswählen, können Sie für die Zertifizierungsstelle eine Kontaktmöglichkeit angeben. Hierbei haben Sie die Möglichkeit, entweder eine E-Mail-Adresse oder eine URL zu hinterlegen. Bisher unterstützen nicht alle Zertifizierungsstellen diese Eigenschaft.  

Beispiele:

Im folgenden Beispiel wurde für die Domain example.com der Flag 128 (Kritisch) und der Typ Issue Zertifizierungsstelle (CA) ausgewählt. Als Zertifizierungsstelle (CA) wurde digicert.com angegeben. 

Mit diesen Eintragungen wird der Zertifizierungsstelle Digicert erlaubt, einfache Zertifikate auszustellen.

In diesem Beispiel wird Digicert die Erstellung von Wildcard-Zertifikaten zu erlaubt:

Mit diesen Eintragungen wird der Zertifizierungsstelle Digicert erlaubt, Wildcard-Zertifikate auszustellen.

Um die Ausstellung von einfachen Zertifikaten und Wildcard-Zertifikaten für die Domain example.com zu verbieten, müssen Sie zwei CAA-Records erstellen, die im Feld Wert ein Semikolon enthalten. Beispiel:

Im folgenden Beispiel wurde für die Zertifizierungsstelle eine Kontaktmöglichkeit angegeben:

Ihre Änderungen sind bei IONOS sofort wirksam. Es kann jedoch bis zu 1 Stunde dauern, bis die Änderung auf Grund der dezentralen Struktur des Domain Name Systems überall wirksam wird.

CAA-Record hinzufügen

Einen CAA-Record können Sie im Control-Center hinzufügen.

  • Klicken Sie bei der gewünschten Domain unter Aktionen auf das Zahnrad-Symbol und anschließend auf DNS.

  • Klicken Sie auf RECORD HINZUFÜGEN und wählen Sie unter Typ den Eintrag CAA.

  • Geben Sie im Feld Hostname den gewünschten Host an, beispielsweise www oder @.
    Das @-Zeichen wird in diesem Fall als Platzhalter verwendet und stellt sicher, dass die Domain mit www und allen Subdomains aufgerufen wird.

  • Geben Sie im Feld Wert den entsprechenden Wert ein. Diesen erhalten Sie von der jeweiligen Zertifizierungsstelle. Wenn Sie bei IONOS ein SSL-Zertifikat  erworben haben, geben Sie den Wert digicert.com ein.

  • Wählen Sie den gewünschten Flag. 

  • Wählen Sie den gewünschten Typ.

  • Optional: Wählen Sie die gewünschte TTL (Time-To-Live).
    Standardmäßig sind Ihre Einstellungen sofort aktiv.

  • Klicken Sie auf Speichern.

CAA-Record bearbeiten

Bestehende CAA-Records werden im Control-Center im Bereich DNS der jeweiligen Domain angezeigt. Sie können jeden CAA-Record in diesem Bereich jederzeit bearbeiten.

  • Klicken Sie bei der gewünschten Domain unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf DNS.

  • Klicken Sie bei dem gewünschten CAA-Record unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf RECORD BEARBEITEN.

  • Geben Sie im Feld Wert den entsprechenden Wert ein. Diesen erhalten Sie von der jeweiligen Zertifizierungsstelle. Wenn Sie ein  SSL-Zertifikat  bei IONOS erworben haben, geben Sie den Wert digicert.com ein 

  • Wählen Sie den gewünschten Flag. 

  • Wählen Sie den gewünschten Typ.

  • Optional: Wählen Sie die gewünschte TTL (Time-To-Live).
    Standardmäßig sind Ihre Einstellungen sofort aktiv.

  • Klicken Sie auf Speichern.

CAA-Record löschen

Einen CAA-Record können Sie jederzeit im Control-Center löschen.

  • Klicken Sie bei der gewünschten Domain unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf DNS.

  • Klicken Sie bei dem gewünschten CAA-Record unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf RECORD LÖSCHEN .

  • Bestätigen Sie den Löschvorgang, indem Sie auf LÖSCHEN klicken.