Defaults.Exposed › Behebungen › CAA-Einträge

So beheben Sie CAA-Einträge

Ein CAA-Eintrag ist eine kurze Anweisung in Ihren Domain-Einstellungen, die benennt, welche Zertifikatsfirmen das 'Schloss'-Sicherheitszertifikat für Ihre Website ausstellen dürfen. Ist er eingeschaltet, kann keine andere Firma still ein gültiges Zertifikat in Ihrem Namen erstellen.

Das Wichtigste für Ihr Unternehmen: Ohne einen CAA-Eintrag kann nahezu jede der weltweit hunderten Zertifikatsfirmen ein echtes, voll vertrauenswürdiges Schloss-Zertifikat für Ihre Domain ausstellen — und einem Betrüger erlauben, einen makellosen, voll 'sicher' wirkenden Klon Ihrer Seite aufzustellen, um die Logins und Kartendaten Ihrer Kunden abzugreifen, ohne dass am Bildschirm etwas davor warnt.

Was Sie das kosten kann

• Ein Betrüger erlangt ein echtes Zertifikat für eine Kopie Ihrer Seite, sodass sie das grüne Schloss und HTTPS zeigt — Ihre Kunden sehen nichts Falsches, tippen Passwörter und Kartennummern ein, und Sie erfahren es erst, wenn die Rückbuchungen und verärgerten Anrufe beginnen.
• Ihre Kunden werden über eine pixelgenaue Nachbildung Ihrer Login-Seite gephisht; die Folgen — Rückerstattungen, Support-Last, Reputationsschaden — landen bei Ihrer Marke, obwohl Ihre echte Seite nie berührt wurde.
• Das Sicherheits- oder Einkaufsteam eines Interessenten prüft vor der Unterschrift kurz Ihre Domain, sieht keinen CAA-Schutz und stuft Sie still als 'schwach bei den Grundlagen' herab — und setzt einen Abschluss wegen einer Einstellung aufs Spiel, die fünf Minuten zum Hinzufügen braucht.
• Eine der weltweiten Zertifikatsfirmen wird kompromittiert (das ist wiederholt geschehen — DigiNotar, Comodo, Symantec), und weil Sie nie gesagt haben, wer für Sie handeln darf, ist Ihre Domain demjenigen ausgesetzt, der sich als schwächstes Glied erweist.

Warum es wichtig ist. Im Moment steht die Tür weit offen: jede Zertifikatsfirma der Welt kann für eine Seite bürgen, die vorgibt, Ihre zu sein, egal ob Sie je mit ihr zu tun hatten oder nicht. Ein CAA-Eintrag verriegelt diese Tür, sodass nur der von Ihnen gewählte Anbieter Zertifikate ausstellen kann — es ist die einfachste, günstigste Verteidigung gegen jemanden, der Ihr Unternehmen online imitiert.

CAA-Einträge, in einfachen Worten

Jede sichere Website hat ein Zertifikat — das, was hinter dem Schloss im Browser und dem “https” vor Ihrer Adresse steht. Diese Zertifikate werden von Spezialfirmen ausgegeben, den Zertifizierungsstellen (Certificate Authorities, CAs): Namen wie Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Sieht Ihr Browser ein gültiges Zertifikat, zeigt er das Schloss und sagt Ihrem Kunden, dass die Verbindung echt und sicher ist.

Hier der Teil, der den meisten Inhabern nie gesagt wurde: standardmäßig dürfen hunderte dieser Zertifizierungsstellen weltweit jeweils ein Zertifikat für Ihre Domain ausstellen — ob Sie je von ihnen gehört haben oder nicht. Ein CAA-Eintrag (Certification Authority Authorization) ist ein einzeiliger Vermerk, den Sie zu den DNS-Einstellungen Ihrer Domain hinzufügen und der im Grunde sagt: “nur diese Anbieter dürfen Zertifikate für mich ausstellen.” Jede seriöse Zertifizierungsstelle ist durch die Branchenregeln verpflichtet, diesen Vermerk vor der Ausstellung zu prüfen — und abzulehnen, wenn sie nicht auf Ihrer Liste steht.

Es ist der Unterschied zwischen einer unverschlossenen Haustür, durch die jeder gehen kann, und einer, zu der nur die von Ihnen gewählten Personen einen Schlüssel haben. Und das Hinzufügen kostet nichts.

Was Sie das kosten kann

Das Risiko, das ein CAA-Eintrag abschneidet, ist überzeugende Imitation. Kann ein Betrüger ein echtes Zertifikat für eine Kopie Ihrer Seite erhalten, verschwinden die üblichen Warnzeichen — kein gebrochenes Schloss, kein “nicht sicher”-Banner, kein Zertifikatsfehler. Alles sieht richtig aus, was es genau so gefährlich macht.

• Die makellose Fälschung. Ein Betrüger registriert eine ähnlich aussehende Adresse (oder kompromittiert einen Weg zu Ihren Kunden), erhält ein echtes Zertifikat und stellt einen perfekten Klon Ihrer Login- oder Checkout-Seite auf — Schloss und alles. Kunden geben Passwörter und Kartennummern wie gewohnt ein. Das Erste, was Sie davon hören, ist eine Welle von Rückbuchungen, Betrugsmeldungen und verärgerten Anrufen.
• Die Phishing-Kampagne in Ihrem Namen. Angreifer senden “bitte bestätigen Sie Ihr Konto”-E-Mails, die zu ihrem zertifizierten Klon Ihrer Seite führen. Weil die Seite voll sicher aussieht, fallen mehr Leute herein. Die Aufräumarbeit — Kunden benachrichtigen, Rückerstattungen, Support-Stunden, die unangenehme öffentliche Erklärung — landet bei Ihnen, obwohl Ihre echten Server nie berührt wurden.
• Der Abschluss, der an einer Checkliste stockt. Das Sicherheits- oder Einkaufsteam eines größeren Kunden scannt vor der Unterschrift Ihre Domain. “Kein CAA-Eintrag” erscheint als roter oder gelber Punkt neben Ihrem Namen. Technisch eine Kleinigkeit, aber es liest sich als “deckt die Grundlagen nicht ab” und kann einen Vertrag verlangsamen oder versenken, den Sie sonst gewonnen hätten.
• Vom Sicherheitsvorfall eines anderen erwischt. Eine Zertifizierungsstelle, mit der Sie nie zu tun hatten, wird kompromittiert — das ist nicht hypothetisch; DigiNotar, Comodo und Symantec hatten alle schwere Vorfälle. Weil Sie nie eingeschränkt haben, wer für Sie handeln darf, kann der Angreifer über diese schwache CA ein gültiges Zertifikat für Ihre Domain erhalten. Ein CAA-Eintrag hätte ihn abgewiesen.
• Der Wildcard-Blindpunkt. Selbst Unternehmen, die bei ihrer Hauptseite sorgfältig sind, vergessen oft Subdomains. Ohne eine issuewild-Regel erhält ein Angreifer, der ein Wildcard-Zertifikat erlangen kann, faktisch einen Schlüssel zu jeder Subdomain, die Sie je haben werden, auf einmal.

Keines davon erfordert einen ausgefeilten Angriff auf Ihre Server. Sie nutzen aus, dass das weitere Zertifikatssystem ohne CAA-Eintrag schlicht zu vertrauensselig in Ihrem Namen ist.

Was es tatsächlich ist, und wie “gut” aussieht

Ein CAA-Eintrag lebt im DNS Ihrer Domain — denselben Einstellungen, die Ihre Domain auf Ihre Website und E-Mail verweisen. Jeder Eintrag hat drei Teile: ein Flag, einen Tag und einen Wert. Die wichtigen Tags sind:

• issue — benennt eine Zertifizierungsstelle, die normale Zertifikate für Ihre Domain ausstellen darf. Sie können mehrere haben, einen pro Anbieter, den Sie legitim nutzen.
• issuewild — steuert Wildcard-Zertifikate (ein Zertifikat, das jede Subdomain abdeckt, z. B. *.example.com). Nutzen Sie keine Wildcards, blockiert die empfohlene Einstellung sie vollständig.
• iodef — eine optionale Kontaktadresse, an die Sie benachrichtigt werden, wenn eine Zertifizierungsstelle eine Anfrage wegen Ihrer CAA-Richtlinie ablehnt. Das ist Ihre Frühwarnung, dass jemand es versucht hat.

Wie “gut” aussieht: mindestens ein issue- (oder issuewild-) Eintrag ist vorhanden, der den/die tatsächlich genutzten Anbieter benennt, mit Wildcards entweder auf einen benannten Anbieter beschränkt oder blockiert. Das ist die Messlatte dieser Prüfung — sie schlägt die CAA-Einträge Ihrer Domain über mehrere unabhängige Resolver nach und besteht, wenn sie eine echte issue- oder issuewild-Richtlinie findet. Eine Domain ganz ohne CAA-Einträge wird als die offene Tür behandelt, die sie ist.

Beeinflusst das meine Note? Ja. Ein fehlender CAA-Eintrag ist ein bewerteter Punkt und mit mittlerer Schwere markiert — eine echte Lücke, nicht nur ein Nice-to-have, weil er einen echten Imitationsweg offenlässt. Den Eintrag hinzuzufügen schließt die Lücke und beseitigt den Befund.

So beheben Sie es (kostenlos, ~5 Minuten)

Geben Sie diesen Abschnitt an die Person weiter, die Ihre Domain oder Website verwaltet — die Behebung ist kostenlos. Es ist eine kleine DNS-Änderung, kein Neuaufbau. Wir berechnen nur etwas, wenn Sie später möchten, dass wir überwachen, dass der Eintrag bestehen bleibt; ihn hinzuzufügen kostet nichts.

Schritt 1 — Herausfinden, welche Zertifizierungsstelle Sie tatsächlich nutzen. Das ist der eine Schritt, den es lohnt richtig zu machen, denn den falschen Anbieter aufzulisten kann Ihre nächste Erneuerung blockieren. Gängige Fälle:

• Let’s Encrypt — von vielen Hosts und Kontrollpanels genutzt (cPanel, Plesk) → letsencrypt.org
• Cloudflare (wenn es Ihr Edge-Zertifikat ausstellt) → letsencrypt.org, digicert.com, comodoca.com, pki.goog und ssl.com (Cloudflare nutzt mehrere Back-End-CAs; listen Sie die, die sein Dashboard zeigt, oder den vollen Satz auf, damit Erneuerungen nie scheitern)
• Google Workspace / Google Trust Services → pki.goog
• DigiCert → digicert.com
• Sectigo / Comodo → sectigo.com (und comodoca.com)
• Microsoft 365 / Azure — Microsoft nutzt für verwaltete Zertifikate typischerweise DigiCert → digicert.com (im Portal bestätigen)

Sind Sie unsicher, sehen Sie sich Ihr aktuelles Zertifikat im Browser an (Klick aufs Schloss → Zertifikatsdetails → “Ausgestellt von”), um zu sehen, wer es ausgestellt hat.

Schritt 2 — Bei Ihrem DNS-Anbieter anmelden. Das ist dort, wo die Einträge Ihrer Domain liegen — meist Ihr Registrar, Ihr Webhost oder Cloudflare. Finden Sie den Bereich der DNS-Einträge und wählen Sie, einen neuen Eintrag vom Typ CAA hinzuzufügen (manche Oberflächen bezeichnen ihn als Typ 257).

Schritt 3 — Einen issue-Eintrag für jeden genutzten Anbieter hinzufügen. Für Let’s Encrypt zum Beispiel:

example.com.   CAA   0 issue "letsencrypt.org"

Fügen Sie eine issue-Zeile pro legitimem Anbieter hinzu. Die meisten DNS-Dashboards geben Ihnen getrennte Felder für das Flag (0), den Tag (issue) und den Wert (die Domain der CA), sodass Sie nicht die ganze Zeile von Hand tippen.

Schritt 4 — Wildcard-Zertifikate steuern. Nutzen Sie keine Wildcards, blockieren Sie sie ganz, damit niemand still eines erhält:

example.com.   CAA   0 issuewild ";"

Nutzen Sie doch Wildcards, benennen Sie stattdessen den Anbieter: 0 issuewild "letsencrypt.org".

Schritt 5 — (Empfohlen) Eine Benachrichtigungsadresse hinzufügen. Damit Sie erfahren, wann immer eine CA einen Versuch ablehnt — Ihre Frühwarnung, dass jemand es versucht hat:

example.com.   CAA   0 iodef "mailto:[email protected]"

Schritt 6 — Speichern und prüfen. Führen Sie dig CAA example.com aus (oder nutzen Sie ein beliebiges Online-DNS-Nachschlagewerkzeug) und bestätigen Sie, dass Ihre Einträge erscheinen. Änderungen können von wenigen Minuten bis zu einigen Stunden brauchen, um sich im Internet zu verbreiten. Ihr bestehendes Zertifikat und alle Erneuerungen funktionieren durchgehend weiter — CAA regelt nur die neue Ausstellung.

Plattform-Kurzhinweise: Bei Cloudflare DNS → Records → Add record → Typ CAA. Bei Google Workspace verwalten Sie DNS bei Ihrem Registrar (oder Cloud DNS, falls Sie es nutzen) — fügen Sie die CAA-Einträge dort mit pki.goog hinzu. Bei Microsoft 365 wird CAA nicht im M365-Admin-Center gesetzt; fügen Sie es dort hinzu, wo das DNS Ihrer Domain gehostet wird, und listen Sie Ihre verwaltete-Zertifikat-CA auf (häufig DigiCert). Bei gängigen Hosts (GoDaddy, Namecheap usw.) liegt es im selben DNS-Panel, in dem Ihre A- und MX-Einträge wohnen.

Häufige Fehler

• Die falsche CA auflisten — oder eine vergessen. Das größte reale Risiko ist nicht Sicherheit, sondern das Blockieren Ihrer eigenen Erneuerungen. Nutzen Sie mehr als einen Aussteller (z. B. einen für die Hauptseite und einen hinter Cloudflare), listen Sie alle auf. Im Zweifel lieber ein paar auflisten, denen Sie vertrauen, als zu wenige.
• issue setzen, aber Wildcards ignorieren. Eine Domain, die normale Zertifikate einschränkt, aber nichts über Wildcards sagt, lässt den mächtigeren Wildcard-Weg dennoch offen. Setzen Sie immer auch issuewild — entweder auf Ihren Anbieter oder auf ";", um ihn zu blockieren.
• CAA auf den falschen Namen setzen. CAA wird von der Zertifizierungsstelle für den genauen zu zertifizierenden Namen gelesen und arbeitet sich im Baum nach oben. Es am Anfang Ihrer Domain zu setzen (der “Apex”, z. B. example.com) ist der richtige Zug — es deckt Subdomains standardmäßig ab, sofern eine Subdomain nicht ihre eigene setzt.
• Annehmen, Ihre Plattform habe es schon getan. Cloudflare, Google und Microsoft verwalten Zertifikate, fügen aber keine CAA-Einträge für Sie hinzu. Sofern Sie sie nicht hinzugefügt haben, ist Ihre Domain weiterhin offen.
• Es als einmalig ohne Überwachung behandeln. Eine spätere DNS-Migration, ein Registrar-Wechsel oder ein “Aufräumen” der Einträge kann Ihren CAA-Schutz still fallen lassen. Es lohnt sich, nach jeder DNS-Änderung zu prüfen, ob er noch da ist.

Die technische Ebene (geben Sie das Ihrer IT-Kraft)

CAA ist in RFC 8659 definiert und wird unter den CA/Browser Forum Baseline Requirements durchgesetzt — jede öffentlich vertrauenswürdige CA ist verpflichtet, CAA zum Ausstellungszeitpunkt zu prüfen. Einträge haben die Form <flags> <tag> <value>, mit den Tags issue, issuewild und iodef. Eine nicht-leere issue- oder issuewild-Richtlinie erfüllt diese Prüfung; die alleinige Präsenz von iodef tut es nicht (das ist Berichterstattung, keine Autorisierung).

Eine solide Grundlinie am Apex:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Hinweise für die Umsetzende:

• CAA-Baumklettern: CAs werten CAA vom angefragten FQDN aufwärts bis zum Apex aus und halten beim ersten Namen mit gesetztem CAA-Eintrag an. Ein Eintrag am Apex schützt daher alle Subdomains, sofern eine Subdomain nicht ihren eigenen veröffentlicht, was sie kann — nützlich, wenn eine bestimmte Subdomain einen anderen Aussteller nutzt.
• Der Wert ; in issuewild bedeutet “keine CA darf Wildcards ausstellen” — ein ausdrückliches Verbot. Nutzen Sie ihn, wann immer Wildcards nicht Teil Ihres Aufbaus sind.
• Das Flag 0 ist das Issuer-Critical-Flag; 0 (nicht-kritisch) ist für den Normalgebrauch korrekt. Vermeiden Sie das Setzen des Critical-Bits, sofern Sie es nicht vollständig verstehen, da ein missverstandener kritischer Tag konforme CAs zur Ausstellungsverweigerung bewegen kann.
• Mehrere Aussteller: mehrere issue-Einträge sind erlaubt und additiv — listen Sie jede CA legitim in Ihrem Stack auf (einschließlich der Back-End-CAs, die Ihr CDN-/Edge-Anbieter nutzt), um Erneuerungsfehler zu verhindern.
• Verifizierung: dig CAA example.com +short, oder prüfen Sie über die CAA-Testwerkzeuge des CA/Browser Forums. Diese Prüfung selbst fragt CAA über mehrere unabhängige Resolver ab (lokales DNS, dann Google, Cloudflare und Quad9 DNS-over-HTTPS als Rückfallebene) und akzeptiert die erste autoritative Antwort, sodass ein einzelner Resolver-Ausfall kein falsches “kein CAA”-Ergebnis erzeugt.
• DNSSEC-Paarung: CAA sagt den CAs, wer ausstellen darf; DNSSEC verhindert, dass die CAA-Antwort selbst unterwegs gefälscht wird. Sie ergänzen sich — bei hochwertigen Domains beides betreiben.

Richten Sie es bei Ihrem Anbieter ein

Schritt für Schritt für gängige Anbieter:

• CAA bei GoDaddy einrichten
• CAA bei Namecheap einrichten
• CAA bei Cloudflare einrichten
• CAA bei AWS Route 53 einrichten

FAQ