Was ist ein CAA-Eintrag? DNS-Sicherheitsleitfaden
von
Zuletzt aktualisiert: Lesezeit: 7 min
Wichtigste Erkenntnisse
- A CAA-Eintrag legt fest, welche Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen können.
- Sie verhindert die unautorisierte Ausstellung von Zertifikatenund verringert so das Risiko von Phishing- oder Impersonation-Angriffen.
- DNS-basierte Durchsetzung stellt sicher, dass nur gelistete CAs Zertifikate für Ihre Website validieren und ausstellen können.
- Es entspricht den Zielen von Compliance-Rahmenwerken wie NIST und PCI DSS, indem es eine starke Kontrolle über die Zertifikatsverwaltung demonstriert.
- In Kombination mit SPF, DKIM und DMARC bildet CAA ein umfassendes Verteidigungssystem für Ihre Web- und E-Mail-Sicherheit.
Ein CAA-Eintrag (Certificate Authority Authorization) ist ein DNS-Eintragstyp, mit dem Domaininhaber festlegen können, welche Zertifizierungsstellen (CAs) SSL/TLS-Zertifikate für ihre Domain ausstellen dürfen. Einfach ausgedrückt fungiert er als Kontrollmechanismus, der die Ausstellung von Zertifikaten auf vertrauenswürdige Anbieter beschränkt und so das Risiko von nicht autorisierten oder gefälschten Zertifikaten verringert.
Wenn Sie sich fragen, was ein CAA-Eintrag ist, handelt es sich dabei im Wesentlichen um eine Möglichkeit, die digitale Identität Ihrer Domain auf DNS-Ebene zu schützen. Ohne einen CAA-Eintrag kann jede vertrauenswürdige Zertifizierungsstelle ein Zertifikat für Ihre Domain ausstellen, was Identitätsdiebstahl oder Missbrauch ermöglichen könnte. Ein ordnungsgemäß konfigurierter CAA-Eintrag stärkt die Glaubwürdigkeit Ihrer Website, verhindert die unbefugte Ausstellung von Zertifikaten und fügt Ihrer gesamten Domain-Schutzstrategie eine wichtige Sicherheitsebene hinzu.
Was ist ein CAA-Eintrag?
Ein CAA-Eintrag ist ein einfacher Eintrag in Ihrem DNS, der als Ihre persönliche, öffentliche Türsteherliste fungiert. Er teilt der Welt explizit mit: "Nur diese spezifischen, vorab genehmigten Zertifizierungsstellen sind berechtigt, SSL/TLS-Zertifikate für meine Domain ausstellen."
Dies ist nicht nur ein höflicher Vorschlag, sondern eine verbindliche Vorschrift für Zertifizierungsstellen, wie sie im CA/Browser Forum Grundlegende Anforderungen. Jede Zertifizierungsstelle muss Ihren CAA-Datensatz prüfen, bevor sie ein Zertifikat ausstellt, und wenn sie nicht autorisiert ist, muss sie die Ausstellung verweigern.
Warum ist der CAA wichtig?
In einer Welt ohne Hacker wäre eine Politik der offenen Tür in Ordnung gewesen. Aber das Internet ist eine hektische, chaotische Stadt. Eine feste Türpolitik, die durch einen CAA-Eintrag durchgesetzt wird, ist aus mehreren Gründen unerlässlich:
Verhindert Identitätsdiebstahl
CAA-Einträge verhindern, dass nicht autorisierte Zertifizierungsstellen gefälschte Zertifikate für Ihre Domäne ausstellen, wodurch digitale Betrüger daran gehindert werden, ein überzeugendes gefälschtes Schaufenster neben Ihrer Domäne einzurichten.
Schützt Ihren Ruf
Ein gefälschtes Zertifikat kann verwendet werden für Phishing-Angriffe oder "Man-in-the-Middle"-Schemata verwendet werden und Ihre vertrauenswürdige Marke mit kriminellen Aktivitäten in Verbindung bringen. Ein CAA-Datensatz ist Ihre erste Verteidigungslinie gegen diese Schädigung des Rufs.
Setzt Ihre Sicherheitsstandards durch
Sie wählen die Zertifizierungsstellen aus, die Ihren Sicherheits- und Prüfungsstandards entsprechen. CAA stellt sicher, dass niemand, kein kompromittierter Partner, kein abtrünniger Mitarbeiter, kein cleverer Angreifer, Ihre Wahl umgehen kann.
Es ist ein Häkchen für die Einhaltung der Vorschriften.
Für Unternehmen, die sich an strenge Sicherheitsrichtlinien wie NIST oder PCI DSS halten, ist der Nachweis der Kontrolle über die Ausstellung von Zertifikaten nicht nur eine gute Praxis, sondern oft eine Anforderung.
Wie funktioniert eine CAA-Aufzeichnung?
Wenn eine Zertifizierungsstelle eine Zertifikatsanforderung für Ihre Domäne erhält, prüft sie Ihr DNS auf den CAA-Eintrag. Der Datensatz selbst ist eine klare Anweisung, die aus drei Teilen besteht: einem Flag, einem Tag und einem Wert.
Das CAA-Protokoll folgt dieser Struktur:
example.com. IN CAA <flag> <tag> <value>
Normalerweise ist das Kennzeichen 0, und es können mehrere Datensätze nebeneinander bestehen, einer für jede Berechtigungsanweisung.
- Kennzeichen: Normalerweise ist das Flag auf 0 gesetzt, aber wenn es auf 128 (das "kritische" Flag) gesetzt wird, wird die CA angewiesen, die Ausstellung zu verweigern, wenn sie das Tag nicht erkennt, was eine weitere Sicherheitsebene darstellt.
- Tag: Dies ist die spezifische Anweisung. Es gibt drei Hauptbefehle:
- Ausgabe: Erteilt einer CA die Erlaubnis, Standardzertifikate auszustellen.
- issuewild: Erteilt die Erlaubnis für Platzhalter Zertifikate (z.B., *.beispiel.com). Diese kann der gleichen oder einer anderen CA zugewiesen werden als die Ausgabe Tag.
- iodef: Dies ist die Anweisung "Meldung eines Vorfalls". Sie gibt eine E-Mail-Adresse an, an die eine CA eine Mitteilung senden kann, wenn jemand versucht unberechtigt ein Zertifikat von ihr zu erhalten.
- Wert: Dies ist der Name der autorisierten Zertifizierungsstelle oder die Melde-E-Mail-Adresse.
| CAA-Datensatz-Syntax | Was es bedeutet |
|---|---|
| Beispiel.com. IN CAA 0 Ausgabe "digicert.com" | "Nur DigiCert kann Standardausweise für diesen Veranstaltungsort ausstellen". |
| Beispiel.com. IN CAA 0 issuewild "sectigo.com" | "Bei den All-Access-Wildcard-Pässen steht nur Sectigo auf der Liste". |
| example.com. IN CAA 0 iodef "mailto:[email protected]" | "Wenn jemand anders versucht, einen Passierschein zu bekommen, schicken Sie sofort eine E-Mail an den Sicherheitsbeauftragten. |
Gängige CAA-Tags und ihre Funktionen
CAA-Einträge verwenden bestimmte Tags, um zu steuern, wie Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen können. Jedes Tag dient einem bestimmten Zweck und gilt für unterschiedliche Zertifikatsszenarien:
-Ausgabe
Das Issue-Tag autorisiert bestimmte Zertifizierungsstellen zur Ausstellung von Standard-SSL/TLS-Zertifikaten für Ihre Domain. Es wird verwendet, wenn Sie einer oder mehreren vertrauenswürdigen Zertifizierungsstellen ausdrücklich die Ausstellung von Zertifikaten gestatten und alle anderen davon ausschließen möchten.
-Ausgabewild
Das Attribut „issuewild“ steuert, welche Zertifizierungsstellen Wildcard-Zertifikate für Ihre Domain (z. B. *.example.com) ausstellen dürfen. Dieses Attribut ist nur relevant, wenn Sie Wildcard-Zertifikate verwenden und deren Ausstellung separat steuern möchten.
-iodef
Das iodef-Tag definiert, wohin Zertifizierungsstellen Berichte senden sollen, wenn ein unbefugter oder ungültiger Versuch zur Ausstellung eines Zertifikats erfolgt. Diese Berichte werden in der Regel an eine E-Mail-Adresse oder URL gesendet, damit Domaininhaber potenziellen Missbrauch erkennen und darauf reagieren können.
Zusammen geben diese Tags den Domain-Inhabern eine viel strengere Kontrolle über die Ausstellung von Zertifikaten und erleichtern es gleichzeitig, Missbrauch oder Fehlkonfigurationsversuche frühzeitig zu erkennen, bevor sie zu einem größeren Problem werden.
So richten Sie einen CAA-Eintrag ein
Das Einrichten eines CAA-Eintrags erfolgt in Ihrer DNS-Verwaltungskonsole.
1. Geben Sie Ihr DNS ein: Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Anbieter an.
2. Eine neue Regel hinzufügen: Suchen Sie den Bereich zum Hinzufügen eines neuen DNS-Eintrags.
3. Schreiben Sie die Anweisung:
-
- Art: CAA
- Host/Name: Ihre Domäne (z. B., Beispiel.com)
- Tag: Wählen Sie Ausgabe, issuewild, oder iodef.
- Wert: Geben Sie den Domänennamen der CA in Anführungszeichen ein (z. B., "digicert.com").
- Flagge: Setzen Sie es auf 0.
4. Veröffentlichen und Prüfen: Speichern Sie den Eintrag. Es kann einige Zeit dauern, bis sich DNS-Änderungen im Internet verbreiten. Verwenden Sie PowerDMARCs Online CAA-Prüfung um sicherzustellen, dass Ihre Richtlinie sichtbar und korrekt ist.
Wie PowerDMARC helfen kann
Der Certification Authority Authorization Checker von PowerDMARC ist das Tool, mit dem Sie Ihre eigene Türpolitik überprüfen können. Es ist ein leistungsstarkes, kostenloses Dienstprogramm, das Ihre CAA-Datensätze sofort überprüft und bestätigt, dass nur die von Ihnen ausgewählten Zertifizierungsstellen in der Liste aufgeführt sind.
Schritt 1: Registrieren Sie sich kostenlos bei PowerDMARC
Die Anmeldung erhalten Sie Zugang zu einer ganzen Reihe von DNS- und E-Mail-Authentifizierungstools, um Ihre Domain sicher zu halten.
Schritt 2: Gehen Sie zu Analysis Tools > Lookup Tools > CAA Checker
Navigieren Sie im Hauptmenü zu unseren Analysetools. Sie finden den CAA Checker auf der Registerkarte Registerkarte Lookup Tools.
Schritt 3: Geben Sie Ihren Domänennamen ein
Geben Sie die zu prüfende Domain ein (z.B., powerdmarc.com) in die Toolbox ein und klicken Sie auf die Schaltfläche "Nachschlagen".
Schritt 4: Überprüfen Sie die Liste der autorisierten Personen
Das Tool wird sofort Ihr DNS abfragen und Ihre aktive CAA-Richtlinie anzeigen. Sie können die autorisierten Zertifizierungsstellen überprüfen und leicht feststellen, welche davon nicht vorhanden sein sollten. Das Tool zeigt auch die TTL (Time to Live) für jeden Eintrag an.
Schritt 5: Beheben Sie alle Probleme
Wenn der Checker Fehlkonfigurationen oder unzulässige Einträge aufzeigt, können Sie die detaillierten Informationen nutzen, um sich an Ihren DNS-Anbieter zu wenden und das Problem zu beheben.
Wichtig: Ein guter CAA-Checker hilft Ihnen dabei, die unberechtigte Ausstellung von Zertifikaten zu verhindern, die Domainsicherheit zu erhöhen, Fehlkonfigurationen effektiv zu erkennen und zu beheben sowie die Einhaltung von Vorschriften und eine bessere Verwaltung von SSL-Zertifikaten zu gewährleisten.
Zu vermeidende Anfängerfehler
- Tippfehler auf der Liste: Falsche Schreibweise des Namens einer CA ("digicert.co" anstelle von "digicert.com"), wird sie komplett blockiert.
- Vergessen Sie den iodef-Bericht: Wenn Sie Ihrem Türsteher nicht sagen, wohin er Berichte über Vorfälle schicken soll, werden Sie nie erfahren, ob jemand Ihre Sicherheit testet.
- Eine-Größe-passt-allen-Richtlinien: Wenn Sie eine CA für Standarddomänen und eine andere für Wildcards verwenden, benötigen Sie zwei separate Einträge (Ausgabe und issuewild).
Wann Sie einen CAA-Eintrag verwenden sollten
Ein CAA-Eintrag wird dringend für alle Domains empfohlen, die SSL/TLS-Zertifikate verwenden, insbesondere wenn der Missbrauch von Zertifikaten zu Sicherheits-, Vertrauens- oder Compliance-Problemen führen könnte. Durch die Einschränkung, welche Zertifizierungsstellen Zertifikate für Ihre Domain ausstellen dürfen, verringert CAA das Risiko einer unbefugten oder versehentlichen Ausstellung von Zertifikaten.
CAA ist besonders wichtig für Unternehmen, die mehrere Domains oder Subdomains verwalten, E-Commerce-Unternehmen, die mit sensiblen Kundendaten umgehen, und Organisationen, die kundenorientierte Websites betreiben, bei denen Vertrauen von entscheidender Bedeutung ist. Es ist auch sehr wertvoll für Unternehmen, die mit mehreren Teams oder Anbietern zusammenarbeiten, wo die Zertifikatsverwaltung verteilt sein kann und schwieriger zentral zu kontrollieren ist.
Die Kontrolle der CA-Autorisierung ist in Umgebungen unerlässlich, in denen ein kompromittiertes oder falsch ausgestelltes Zertifikat Identitätsdiebstahl, Man-in-the-Middle-Angriffe oder Rufschädigung ermöglichen könnte. Selbst kleinere Organisationen und Informationswebsites profitieren von der Durchsetzung von CAA-Beschränkungen, da jede Domain, die SSL verwendet, auf die Integrität des Zertifikats angewiesen ist. Die Implementierung eines CAA-Eintrags bietet eine zusätzliche Ebene der Kontrolle und Transparenz, die die allgemeine Domainsicherheit unabhängig von der Größe der Organisation stärkt.
Schlussfolgerung
Übernehmen Sie die volle Kontrolle darüber, wer SSL/TLS-Zertifikate für Ihre Domain ausstellt. Ein CAA-Datensatz fungiert als Ihre autorisierte Liste zugelassener Zertifizierungsstellen und verhindert, dass jemand anderes ein Zertifikat in Ihrem Namen erstellt.
Dies ist der beste Schutz vor Phishing- und Marken-Imitations-Angriffen, die das Vertrauen der Kunden untergraben können. Aber es reicht nicht aus, den Datensatz einfach zu erstellen. Um sicherzustellen, dass er korrekt funktioniert, ist eine regelmäßige Überprüfung erforderlich. PowerDMARC bietet Ihnen die Experten-Tools, die Sie benötigen, um nicht nur Ihre CAA-Konfiguration zu überprüfen, sondern auch um eine vollständige, mehrschichtige Verteidigung einzurichten, die Web- und E-Mail-Sicherheit integriert.
Überlassen Sie die Ausstellung von Zertifikaten nicht dem Zufall. Registrieren Sie sich bei PowerDMARC an, um unseren kostenlosen CAA-Checker zu nutzen, Ihre Sicherheitslage zu überprüfen und vollständige Transparenz und Kontrolle über die Authentifizierungsprotokolle Ihrer Domain zu erhalten.
Häufig gestellte Fragen (FAQs)
Was bewirkt ein CAA-Rekord?
Ein CAA-Eintrag ist eine öffentliche Richtlinie in Ihrem DNS, die festlegt, welche spezifischen Zertifizierungsstellen SSL/TLS-Zertifikate für Ihre Domain ausstellen dürfen.
Brauche ich einen CAA-Eintrag für meine Domain?
Nein, es ist nicht zwingend erforderlich, damit eine Website funktioniert. Aber ohne ein solches Zertifikat kann jede Zertifizierungsstelle ein Zertifikat für Ihre Domäne ausstellen, wenn ein Antrag ihre Validierung besteht. Dies stellt ein potenzielles Sicherheitsrisiko dar.
Kann ich mehrere CAA-Datensätze haben?
Unbedingt. Wenn Sie mehr als eine Zertifizierungsstelle verwenden, erstellen Sie einfach für jeden autorisierten Anbieter einen separaten Issue- oder Issuewild-CAA-Datensatz.
Was passiert, wenn ich keinen CAA-Rekord aufstelle?
Wenn Sie keinen CAA-Eintrag haben, teilen Sie damit der Welt mit, dass Sie keine Präferenz haben. Das bedeutet, dass jede der Hunderte von Zertifizierungsstellen ein Zertifikat für Ihre Domäne ausstellen kann, wodurch sich die Fläche für potenzielle Fehlausstellungen - ob versehentlich oder böswillig - erheblich vergrößert.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
- 550 Absenderadresse verstößt gegen die Richtlinie „UsernameCaseMapped“: Ursachen und Lösungen – 11. Februar 2026
- Eine Schritt-für-Schritt-Anleitung zum Einrichten von SPF, DKIM und DMARC für Wix – 26. Januar 2026
- So beheben Sie den Fehler „Reverse DNS stimmt nicht mit dem SMTP-Banner überein“ – 22. Januar 2026
