Zurück

CAA

3 Min Lesedauer · Aktualisiert am 15.09.2025
In diesem Artikel

Certification Authority Authorization (CAA) ist ein DNS-Record, der bestimmt, welcher Zertifikatsstelle es erlaubt ist, Zertifikate für die betroffene Domain oder Subdomain auszustellen. Ist bei einer Domain kein CAA-Record hinterlegt, können SSL-Zertifikate von jeder beliebigen Certification Authority (CA) verwendet werden. Mit einem CAA-Record kannst du deine Domain beispielsweise auf die CA Let's Encrypt beschränken. Somit werden nur SSL-Zertifikate von Let's Encrypt als gültig anerkannt. Ein CAA-Eintrag setzt sich aus einem «Flag», in der Regel 0, einem «Tag» und einem Wert zusammen, wo auf die Zertifizierungsstelle verwiesen wird. Folgend erläutern wir die Funktionsweise anhand von Beispielen:

Anwendungsbeispiele von CAA-Records

Du kannst CAA-Records ganz bequem über dein my.cyon gemäss «DNS-Record hinzufügen» erstellen. Der CAA-Eintrag, der für die Domain oliverorange.ch Let's Encrypt als CA zulässt, sieht wie folgt aus:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issue
  • Wert: "letsencrypt.org"

Möchtest du neben Let's Encrypt noch weitere CA zulassen, erstelle für jede dieser einen CAA-Record.

CA für Subdomain definieren

Möchtest du beispielsweise für die Subdomain shop.oliverorange.ch ein SSL-Zertifikat einer anderen CA, wie zum Beispiel GlobalSign, nutzen, kannst du dies über folgenden Eintrag definieren.

  • Name: shop.oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issue
  • Wert: "globalsign.com"

Informiere dich beim Dienst, wo du das SSL-Zertifikat gekauft hast, welcher Wert für den CAA-Eintrag verwendet werden soll.

Wildcard-Zertifikate

Bei den beiden obigen Beispielen wurde jeweils der Tag issue verwendet. Dieser beschränkt sich auf «normale» SSL-Zertifikate. Ein sogenanntes Wildcard-Zertifikat, welches für deine Domain und Subdomains ausgestellt wurde, kann diese Einschränkung jedoch übersteuern. Um auch Wildcard-Zertifikate für deine Domain und Subdomains auf Let's Encrypt einzuschränken, benötigt es einen zusätzlichen CAA-Eintrag mit dem Tag issuewild:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issuewild
  • Wert: "letsencrypt.org"

Nun werden für die Domain oliverorange.ch und deren Subdomains nur noch SSL-Zertifikate als gültig akzeptiert, welche von Let's Encrypt ausgestellt wurden.

Möchtest du hingegen verhindern, dass für deine Domain und Subdomains Wildcard-Zertifikate akzeptiert werden, kannst du dies über folgenden Eintrag verhindern:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issuewild
  • Wert: ";"
Kategorien
Begriffe
DNS
Artikel teilen
E-Mail WhatsApp

Immer auf dem Laufenden bleiben

Tipps, Tools & Insights für deine Webprojekte

Jetzt Newsletter abonnieren

Was dir auch helfen könnte

Verwandte Artikel

DNSSEC

Die Domain Name System Security Extensions (DNSSEC) setzen sich aus verschiedenen Internetstandards zusammen. Sie haben das Ziel, de...

Zum Artikel SSL-Zertifikat

Ein SSL-Zertifikat ist ein digitales Zertifikat, welches für eine verschlüsselte Verbindung im Internet benötigt wird. Eine offiz...

Zum Artikel SSL-Zertifikat (Verschlüsselung) einrichten

Ein kostenloses SSL-Zertifikat ist über dein my.cyon-Konto dank Let's Encrypt im Handumdrehen eingerichtet. Möchtest du ein ei...

Zum Artikel SSL/TLS

Secure Sockets Layer (SSL) ist die weit verbreitete Bezeichnung für Transport Layer Security (TLS). Beide Begriffe beschreiben ein ...

Zum Artikel DNS-Records

DNS-Records sind Einträge, die die Funktionsweise einer Domain bestimmen. Die DNS-Records einer Domain bilden die sogenannte DNS-Zo...

Zum Artikel