Dies ist eine Beta-Version der neuen cyon-Website

CAA

Aktualisiert am 15. Sept. 2025
War dieser Artikel hilfreich?

Certification Authority Authorization (CAA) ist ein DNS-Record, der bestimmt, welcher Zertifikatsstelle es erlaubt ist, Zertifikate für die betroffene Domain oder Subdomain auszustellen. Ist bei einer Domain kein CAA-Record hinterlegt, können SSL-Zertifikate von jeder beliebigen Certification Authority (CA) verwendet werden. Mit einem CAA-Record kannst du deine Domain beispielsweise auf die CA Let's Encrypt beschränken. Somit werden nur SSL-Zertifikate von Let's Encrypt als gültig anerkannt. Ein CAA-Eintrag setzt sich aus einem «Flag», in der Regel 0, einem «Tag» und einem Wert zusammen, wo auf die Zertifizierungsstelle verwiesen wird. Folgend erläutern wir die Funktionsweise anhand von Beispielen:

Anwendungsbeispiele von CAA-Records

Du kannst CAA-Records ganz bequem über dein my.cyon gemäss «DNS-Record hinzufügen» erstellen. Der CAA-Eintrag, der für die Domain oliverorange.ch Let's Encrypt als CA zulässt, sieht wie folgt aus:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issue
  • Wert: "letsencrypt.org"

Möchtest du neben Let's Encrypt noch weitere CA zulassen, erstelle für jede dieser einen CAA-Record.

CA für Subdomain definieren

Möchtest du beispielsweise für die Subdomain shop.oliverorange.ch ein SSL-Zertifikat einer anderen CA, wie zum Beispiel GlobalSign, nutzen, kannst du dies über folgenden Eintrag definieren.

  • Name: shop.oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issue
  • Wert: "globalsign.com"

Informiere dich beim Dienst, wo du das SSL-Zertifikat gekauft hast, welcher Wert für den CAA-Eintrag verwendet werden soll.

Wildcard-Zertifikate

Bei den beiden obigen Beispielen wurde jeweils der Tag issue verwendet. Dieser beschränkt sich auf «normale» SSL-Zertifikate. Ein sogenanntes Wildcard-Zertifikat, welches für deine Domain und Subdomains ausgestellt wurde, kann diese Einschränkung jedoch übersteuern. Um auch Wildcard-Zertifikate für deine Domain und Subdomains auf Let's Encrypt einzuschränken, benötigt es einen zusätzlichen CAA-Eintrag mit dem Tag issuewild:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issuewild
  • Wert: "letsencrypt.org"

Nun werden für die Domain oliverorange.ch und deren Subdomains nur noch SSL-Zertifikate als gültig akzeptiert, welche von Let's Encrypt ausgestellt wurden.

Möchtest du hingegen verhindern, dass für deine Domain und Subdomains Wildcard-Zertifikate akzeptiert werden, kannst du dies über folgenden Eintrag verhindern:

  • Name: oliverorange.ch.
  • TTL: 4 Stunden
  • Typ: CAA
  • Flag: 0
  • Tag: issuewild
  • Wert: ";"
Kategorien
  • Begriffe
  • DNS
Artikel teilen
Verwandte Artikel

Was dir auch helfen könnte

Wähle den für dich passenden Kanal

SSL-Zertifikat

Ein SSL-Zertifikat ist ein digitales Zertifikat, welches für eine verschlüsselte Verbindung im Internet benötigt...

SSL/TLS

Secure Sockets Layer (SSL) ist die weit verbreitete Bezeichnung für Transport Layer Security (TLS). Beide Begrif...

DNSSEC

Die Domain Name System Security Extensions (DNSSEC) setzen sich aus verschiedenen Internetstandards zusammen. Si...

DNS-Records

DNS-Records sind Einträge, die die Funktionsweise einer Domain bestimmen. Die DNS-Records einer Domain bilden di...

SSL-Zertifikat (Verschlüsselung) einrichten

Ein kostenloses SSL-Zertifikat ist über dein my.cyon-Konto dank Let's Encrypt im Handumdrehen eingerichtet. Möch...