CAA-Record hinzufügen, ändern oder löschen

Mit einem CAA-Record können Sie als Domain-Inhaber festlegen, welche Zertifizierungsstellen (CAs) für Ihre Domain oder Subdomain Zertifikate ausstellen dürfen. Die Abkürzung CAA steht für Certificate Authority Authorization. 

Durch das Hinzufügen eines CAA-Records soll verhindert werden, dass fälschlicherweise Zertifikate für eine Domain oder Subdomain ausgestellt und ggf. missbraucht werden.

Wenn Sie einen CAA-Record für eine Domain erstellen, wird dieser auch an die bestehenden Subdomains vererbt. Beispiel: 

Wenn Sie einen CAA-Eintrag für die Domain example.com konfigurieren, gilt dieser auch für die Subdomain www.example.com. 

Bei Bedarf können Sie für jede Domain oder Subdomain auch mehrere CAA-Records hinzufügen. Dies kann z. B. erforderlich sein, wenn Sie der Zertifizierungsstelle sowohl die Ausstellung von spezifischen Zertifikaten als auch von Wildcard-Zertifikaten erlauben möchten.

Vor der Ausstellung eines Zertifikats müssen diese CAA-Records von der jeweiligen Zertifizierungsstelle geprüft werden. Diese kann das Zertifikat ausstellen, wenn eine der folgenden Bedingungen erfüllt ist:
 

• Die Zertifikatsstelle findet keinen CAA-Record für Ihre Domain oder Subdomain.

• Die Zertifikatsstelle findet einen CAA-Record für Ihre Domain oder Subdomain, die sie autorisiert, ein Zertifikat für Ihre Domain auszustellen.

Jeder CAA-Record verfügt über einen Flag und eine Eigenschaft. Sie können im Feld Flag entweder 0 (Nicht kritisch) oder 128 (Kritisch) wählen. 

0 (Nicht kritisch): Wenn Sie diesen Flag setzen, werden die Zertifzierungsstellen alle Eintragungen im CAA-Record ignorieren, die nicht ausgewertet werden können.

128 (Kritisch): Wenn Sie diesen Flag setzen, werden die Zertifzierungsstellen kein Zertifikat ausstellen, wenn die Eintragungen im CAA-Record nicht ausgewertet werden können.

Typ

Sie können im Rahmen der Erstellung eines CAA-Records eine der folgenden 3 Eigenschaften auswählen:

• Issue – Zertifzierungsstelle (CA) festlegen: Legt fest, dass die Zertifizierungsstelle, die im Feld Wert definiert ist, ein Zertifikat für die Domain oder Subdomain ausstellen darf.

• Issuewild – Zertifizierungsstelle darf Wildcard-Zertifikate ausstellen: Legt fest, dass die Zertifizierungsstelle, die im Feld Wert definiert ist, Wildcard-Zertifikate für die Domain oder Subdomain ausstellen darf. Wenn Sie die Eigentschaft Issuewild auswählen, darf die Zertifizierungsstelle kein spezifisches Zertifikat für die Domain ausstellen. Damit die Zertifizierungsstelle auch spezifische Zertifikate für die Domain erstellen darf, müssen Sie einen separaten CAA-Eintrag mit der Eigenschaft Issue Issue – Zertifzierungsstelle (CA) festlegen.

• Iodef –Zertifierungsstelle (CA) eine E-Mail-Adresse zur Kontaktaufnahme bereitstellen: Wenn Sie diese Eigenschaft auswählen, können Sie für die Zertifizierungsstelle eine Kontaktmöglichkeit angeben. Hierbei haben Sie die Möglichkeit, entweder eine E-Mail-Adresse oder eine URL zu hinterlegen. Bisher unterstützen nicht alle Zertifizierungsstellen diese Eigenschaft.  

Beispiele

Im folgenden Beispiel wurde für die Domain example.com der Flag 128 (Kritisch) und der Typ Issue Zertifizierungsstelle (CA) ausgewählt. Als Zertifizierungsstelle (CA) wurde sectigo.com angegeben. 

Mit diesen Eintragungen wird der Zertifizierungsstelle Sectigo erlaubt, einfache Zertifikate auszustellen.

In diesem Beispiel wird Sectigo die Erstellung von Wildcard-Zertifikaten erlaubt:

Mit diesen Eintragungen wird der Zertifizierungsstelle Sectigo erlaubt, Wildcard-Zertifikate auszustellen.

Um die Ausstellung von einfachen Zertifikaten und Wildcard-Zertifikaten für die Domain example.com zu verbieten, müssen Sie zwei CAA-Records erstellen, die im Feld Wert ein Semikolon enthalten. Beispiel:

Im folgenden Beispiel wurde für die Zertifizierungsstelle eine Kontaktmöglichkeit angegeben:

Einen CAA-Record können Sie in Ihrem IONOS Konto hinzufügen.

• Klicken Sie bei der gewünschten Domain unter Aktionen auf das Zahnrad-Symbol und anschließend auf DNS.

• Klicken Sie auf RECORD HINZUFÜGEN und wählen Sie unter Typ den Eintrag CAA.

• Geben Sie im Feld Hostname den gewünschten Host an, beispielsweise www oder @.
  Das @-Zeichen wird in diesem Fall als Platzhalter verwendet und stellt sicher, dass die Domain mit www und allen Subdomains aufgerufen wird.

• Geben Sie im Feld Wert den entsprechenden Wert ein. Diesen erhalten Sie von der jeweiligen Zertifizierungsstelle. Wenn Sie bei IONOS ein SSL-Zertifikat  erworben haben, geben Sie den Wert sectigo.com ein.

• Wählen Sie den gewünschten Flag. 

• Wählen Sie den gewünschten Typ.

• Optional: Wählen Sie die gewünschte TTL (Time-To-Live).
  Standardmäßig sind Ihre Einstellungen sofort aktiv.

• Klicken Sie auf Speichern.

Bestehende CAA-Records werden im IONOS Konto im Bereich DNS der jeweiligen Domain angezeigt. Sie können jeden CAA-Record in diesem Bereich jederzeit bearbeiten.

• Klicken Sie bei der gewünschten Domain unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf DNS.

• Klicken Sie bei dem gewünschten CAA-Record unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf RECORD BEARBEITEN.

• Geben Sie im Feld Wert den entsprechenden Wert ein. Diesen erhalten Sie von der jeweiligen Zertifizierungsstelle. Wenn Sie ein  SSL-Zertifikat  bei IONOS erworben haben, geben Sie den Wert sectigo.com ein 

• Wählen Sie den gewünschten Flag. 

• Wählen Sie den gewünschten Typ.

• Optional: Wählen Sie die gewünschte TTL (Time-To-Live).
  Standardmäßig sind Ihre Einstellungen sofort aktiv.

• Klicken Sie auf Speichern.

Einen CAA-Record können Sie jederzeit in Ihrem IONOS Konto löschen.

• Klicken Sie bei der gewünschten Domain unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf DNS.

• Klicken Sie bei dem gewünschten CAA-Record unter Aktionen auf das ZAHNRAD-SYMBOL und anschließend auf RECORD LÖSCHEN .

• Bestätigen Sie den Löschvorgang, indem Sie auf LÖSCHEN klicken.

Einloggen und CAA-Record hinzufügen, ändern oder entfernen