Defaults.Exposed › Einrichtung › CAA

So richten Sie einen CAA-Eintrag bei GoDaddy ein

Legen Sie bei GoDaddy einen CAA-Eintrag an, um festzulegen, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen.

Warum das für Ihr Geschäft wichtig ist

Ein CAA-Eintrag (Certification Authority Authorization, also die Berechtigung von Zertifizierungsstellen) benennt, welche Zertifizierungsstellen — die Unternehmen, die die SSL/TLS-Zertifikate hinter dem Schloss-Symbol im Browser ausstellen — ein Zertifikat für Ihre Domain ausstellen dürfen. Jede regelkonforme Stelle muss diesen Eintrag zuerst prüfen und die Anfrage ablehnen, wenn sie nicht auf der Liste steht.

Im Klartext: Ohne CAA-Eintrag könnte jede von Hunderten Zertifizierungsstellen weltweit getäuscht werden oder einen Fehler machen und jemandem ein gültiges Zertifikat für Ihre Domain aushändigen — das ein Angreifer nutzen könnte, um Ihre Website überzeugend zu imitieren. Ein CAA-Eintrag schließt diese Tür, indem er sagt: nur diese Stellen, sonst niemand. Das ist kostenlos und in wenigen Minuten erledigt.

Prüfen Sie, ob GoDaddy Ihr DNS betreibt

Das funktioniert nur, wenn GoDaddy das DNS für Ihre Domain beantwortet. GoDaddy verkauft Domains und hostet auch DNS, aber beides ist getrennt — die Nameserver Ihrer Domain müssen auf GoDaddy zeigen, damit hier hinzugefügte Einträge aktiv werden. Melden Sie sich an, öffnen Sie Ihre Domain und prüfen Sie, ob die Nameserver die von GoDaddy sind. Zeigen sie woanders hin, legen Sie den CAA-Eintrag bei dem Anbieter an, der Ihr DNS betreibt.

Klären Sie zuerst Ihre Zertifizierungsstelle

Bevor Sie etwas hinzufügen, finden Sie heraus, welche Stelle Ihr Zertifikat ausstellt — sonst riskieren Sie, Ihren eigenen Anbieter auszusperren. Gängige Werte:

• letsencrypt.org — Let’s Encrypt (von den meisten kostenlosen und automatisierten Zertifikaten genutzt)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Wenn Sie unsicher sind, fragen Sie, wer Ihr Hosting eingerichtet hat, oder prüfen Sie das Zertifikat im Browser (auf das Schloss klicken, dann den Aussteller des Zertifikats ansehen).

Schritt für Schritt bei GoDaddy

1. Melden Sie sich bei GoDaddy an und öffnen Sie das Domain-Portfolio (oder Meine Produkte).
2. Suchen Sie Ihre Domain und öffnen Sie deren DNS-Verwaltungsseite (suchen Sie nach DNS oder DNS verwalten).
3. Klicken Sie unter der Eintragsliste auf Hinzufügen (oder Neuen Eintrag hinzufügen).
4. Setzen Sie Typ auf CAA.
5. Geben Sie im Feld Name (oder Host) ein: @ Das @ steht für die Wurzel Ihrer Domain. Geben Sie hier nicht Ihren Domainnamen ein.
6. Setzen Sie Flags auf: 0
7. Setzen Sie Tag auf: issue
8. Geben Sie im Feld Wert die Kennung Ihrer Zertifizierungsstelle ein, zum Beispiel: letsencrypt.org
9. Belassen Sie TTL auf dem Standardwert (1 Stunde ist in Ordnung).
10. Klicken Sie auf Speichern.

Mehr als eine Zertifizierungsstelle zulassen

Die meisten Domains nutzen mit der Zeit mehr als eine Stelle — etwa heute ein kostenloses und später ein bezahltes Zertifikat oder ein anderes für einen separaten Dienst. Um mehrere zuzulassen, fügen Sie für jede einen eigenen CAA-Eintrag hinzu. Alle verwenden denselben @-Namen, dieselben 0-Flags und denselben issue-Tag — nur der Wert ändert sich:

• ein Eintrag mit dem Wert letsencrypt.org
• ein Eintrag mit dem Wert digicert.com

Zusammen sagen sie: beide Stellen sind zugelassen, keine andere. Sie fassen sie nicht in einem einzigen Eintrag zusammen.

GoDaddy-Eigenheiten, die häufig falsch gemacht werden

• Der größte Fehler ist, die eigene Stelle auszusperren. Wenn Sie einen CAA-Eintrag mit nur digicert.com anlegen, Ihr Zertifikat aber tatsächlich über Let’s Encrypt verlängert wird, schlägt die nächste Verlängerung still fehl und Ihr Schloss-Symbol kann Wochen später brechen. Nehmen Sie immer jede tatsächlich genutzte Stelle auf, bevor Sie speichern.
• Name ist @, nicht Ihre Domain. Ihren vollen Domainnamen im Namensfeld einzutragen, legt den Eintrag an der falschen Stelle an. Verwenden Sie @ für die Wurzel.
• Flags ist 0 für einen normalen Eintrag. Der andere Wert, 128, ist ein strikter Modus, der eine nicht regelkonforme Stelle rundheraus ablehnen lässt — nutzen Sie ihn nur bewusst. Im Normalfall 0.
• Verwenden Sie die nackte Domain, keine URL. Der Wert ist letsencrypt.org, niemals https://letsencrypt.org und niemals www..
• Fügen Sie keine eigenen Anführungszeichen hinzu. Geben Sie den reinen Wert ein; GoDaddy übernimmt die Quotierung selbst.
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirken. Bestehende Zertifikate funktionieren weiter; CAA wird nur geprüft, wenn ein neues ausgestellt oder verlängert wird.

Prüfen, ob es funktioniert hat

Sobald gespeichert und verteilt, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob Ihr CAA-Eintrag vorhanden ist und welche Stellen Sie zugelassen haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.