Defaults.Exposed › Einrichtung › CAA

So richten Sie einen CAA-Eintrag bei Cloudflare ein

Legen Sie bei Cloudflare einen CAA-Eintrag an, um festzulegen, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen.

Warum das für Ihr Geschäft wichtig ist

Ein CAA-Eintrag (Certification Authority Authorization, also die Berechtigung von Zertifizierungsstellen) benennt, welche Zertifizierungsstellen — die Unternehmen, die die SSL/TLS-Zertifikate hinter dem Schloss-Symbol im Browser ausstellen — ein Zertifikat für Ihre Domain ausstellen dürfen. Jede regelkonforme Stelle muss diesen Eintrag zuerst prüfen und die Anfrage ablehnen, wenn sie nicht auf der Liste steht.

Im Klartext: Ohne CAA-Eintrag könnte jede von Hunderten Zertifizierungsstellen weltweit getäuscht werden oder einen Fehler machen und jemandem ein gültiges Zertifikat für Ihre Domain aushändigen — das ein Angreifer nutzen könnte, um Ihre Website überzeugend zu imitieren. Ein CAA-Eintrag schließt diese Tür, indem er sagt: nur diese Stellen, sonst niemand. Das ist kostenlos und in wenigen Minuten erledigt.

Prüfen Sie, ob Cloudflare Ihr DNS betreibt

Das funktioniert nur, wenn Cloudflare das DNS für Ihre Domain beantwortet. Cloudflare ist Ihr DNS-Host, und dessen DNS ist nur aktiv, wenn die Nameserver Ihrer Domain auf die im Dashboard angezeigten Cloudflare-Nameserver zeigen. Öffnen Sie Ihre Domain in Cloudflare und prüfen Sie auf der Seite Overview, ob Cloudflare aktiv ist. Zeigen Ihre Nameserver woanders hin, legen Sie den CAA-Eintrag bei dem Anbieter an, der Ihr DNS betreibt.

Klären Sie zuerst Ihre Zertifizierungsstelle

Bevor Sie etwas hinzufügen, finden Sie heraus, welche Stelle Ihr Zertifikat ausstellt — sonst riskieren Sie, Ihren eigenen Anbieter auszusperren. Gängige Werte:

• letsencrypt.org — Let’s Encrypt (von den meisten kostenlosen und automatisierten Zertifikaten genutzt)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Ein Hinweis zu Cloudflare: Wenn Sie Cloudflares eigenes SSL verwenden (das proxied Setup mit der orangefarbenen Wolke), stellt Cloudflare Zertifikate über mehrere Stellen in Ihrem Namen aus — stellen Sie also sicher, dass ein angelegter CAA-Eintrag diese weiterhin zulässt, oder überlassen Sie Cloudflare die CAA-Verwaltung. Wenn Sie unsicher sind, fragen Sie, wer Ihr Hosting eingerichtet hat, oder prüfen Sie das Zertifikat im Browser (auf das Schloss klicken, dann den Aussteller des Zertifikats ansehen).

Schritt für Schritt bei Cloudflare

1. Melden Sie sich bei Cloudflare an und wählen Sie Ihre Domain.
2. Gehen Sie im linken Menü zu Ihren DNS-Einstellungen (suchen Sie nach DNS / Records).
3. Klicken Sie auf Add record.
4. Setzen Sie Type auf CAA.
5. Geben Sie im Feld Name ein: @ Das @ steht für die Wurzel Ihrer Domain. Cloudflare hängt die Domain für Sie an, geben Sie also Ihren Domainnamen nicht dahinter ein.
6. Cloudflare zeigt die CAA-Felder als verständliche Menüs an. Stellen Sie sie wie folgt ein:
   • Flags: 0
   • Tag: wählen Sie Only allow specific hostnames (das ist der issue-Tag)
   • CA domain name (der Wert): letsencrypt.org
7. Belassen Sie TTL auf Auto.
8. Klicken Sie auf Save.

Mehr als eine Zertifizierungsstelle zulassen

Die meisten Domains nutzen mit der Zeit mehr als eine Stelle — etwa heute ein kostenloses und später ein bezahltes Zertifikat oder ein anderes für einen separaten Dienst. Um mehrere zuzulassen, fügen Sie für jede einen eigenen CAA-Eintrag hinzu. Alle verwenden denselben @-Namen, dieselben 0-Flags und denselben issue-Tag — nur der CA-Domain-Wert ändert sich:

• ein Eintrag mit dem Wert letsencrypt.org
• ein Eintrag mit dem Wert digicert.com

Zusammen sagen sie: beide Stellen sind zugelassen, keine andere. Sie fassen sie nicht in einem einzigen Eintrag zusammen.

Cloudflare-Eigenheiten, die häufig falsch gemacht werden

• Der größte Fehler ist, die eigene Stelle auszusperren. Wenn Sie einen CAA-Eintrag mit nur digicert.com anlegen, Ihr Zertifikat aber tatsächlich über Let’s Encrypt verlängert wird, schlägt die nächste Verlängerung still fehl und Ihr Schloss-Symbol kann Wochen später brechen. Nehmen Sie immer jede tatsächlich genutzte Stelle auf, bevor Sie speichern.
• Achten Sie auf Cloudflares eigenes SSL. Wenn Ihr Datenverkehr über Cloudflare läuft (orange Wolke), muss Cloudflare Edge-Zertifikate beziehen können. Ein CAA-Eintrag, der die von Cloudflare genutzten Stellen ausschließt, kann das brechen — im Zweifel lassen Sie neben Ihren eigenen auch Let’s Encrypt und Google Trust Services (pki.goog) zu oder überlassen CAA Cloudflare.
• Name ist @, nicht Ihre Domain. Verwenden Sie @ für die Wurzel; Cloudflare fügt die Domain selbst hinzu.
• Die Tag-Bezeichnung weicht ab. Cloudflare benennt den issue-Tag in seinem Menü als Only allow specific hostnames. Das ist die richtige Wahl für den Normalfall.
• Flags ist 0 für einen normalen Eintrag. Der andere Wert, 128, ist ein strikter Modus — nutzen Sie ihn nur bewusst.
• Verwenden Sie die nackte Domain, keine URL. Der Wert ist letsencrypt.org, niemals https://letsencrypt.org und niemals www..
• Kein Proxy auf einem CAA-Eintrag. CAA ist ein reiner DNS-Eintrag — es gibt hier keinen orange/grauen Wolken-Schalter, um den Sie sich kümmern müssten.
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirken. Bestehende Zertifikate funktionieren weiter; CAA wird nur geprüft, wenn ein neues ausgestellt oder verlängert wird.

Prüfen, ob es funktioniert hat

Sobald gespeichert und verteilt, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob Ihr CAA-Eintrag vorhanden ist und welche Stellen Sie zugelassen haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.