Defaults.Exposed › Einrichtung › CAA

So richten Sie einen CAA-Eintrag bei Namecheap ein

Legen Sie bei Namecheap einen CAA-Eintrag an, um festzulegen, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen.

Warum das für Ihr Geschäft wichtig ist

Ein CAA-Eintrag (Certification Authority Authorization, also die Berechtigung von Zertifizierungsstellen) benennt, welche Zertifizierungsstellen — die Unternehmen, die die SSL/TLS-Zertifikate hinter dem Schloss-Symbol im Browser ausstellen — ein Zertifikat für Ihre Domain ausstellen dürfen. Jede regelkonforme Stelle muss diesen Eintrag zuerst prüfen und die Anfrage ablehnen, wenn sie nicht auf der Liste steht.

Im Klartext: Ohne CAA-Eintrag könnte jede von Hunderten Zertifizierungsstellen weltweit getäuscht werden oder einen Fehler machen und jemandem ein gültiges Zertifikat für Ihre Domain aushändigen — das ein Angreifer nutzen könnte, um Ihre Website überzeugend zu imitieren. Ein CAA-Eintrag schließt diese Tür, indem er sagt: nur diese Stellen, sonst niemand. Das ist kostenlos und in wenigen Minuten erledigt.

Prüfen Sie, ob Namecheap Ihr DNS betreibt

Das funktioniert nur, wenn Namecheap das DNS für Ihre Domain beantwortet. Die folgenden Einträge gehören in Advanced DNS, das nur aktiv ist, wenn Ihre Domain Namecheap BasicDNS (oder PremiumDNS) verwendet. Melden Sie sich an, öffnen Sie die Domain List, klicken Sie bei Ihrer Domain auf Manage und prüfen Sie, ob die Nameserver auf Namecheap gesetzt sind. Zeigen Ihre Nameserver woanders hin, legen Sie den CAA-Eintrag bei dem Anbieter an, der Ihr DNS betreibt.

Klären Sie zuerst Ihre Zertifizierungsstelle

Bevor Sie etwas hinzufügen, finden Sie heraus, welche Stelle Ihr Zertifikat ausstellt — sonst riskieren Sie, Ihren eigenen Anbieter auszusperren. Gängige Werte:

• letsencrypt.org — Let’s Encrypt (von den meisten kostenlosen und automatisierten Zertifikaten genutzt)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Wenn Sie unsicher sind, fragen Sie, wer Ihr Hosting eingerichtet hat, oder prüfen Sie das Zertifikat im Browser (auf das Schloss klicken, dann den Aussteller des Zertifikats ansehen).

Schritt für Schritt bei Namecheap

1. Melden Sie sich bei Namecheap an und öffnen Sie die Domain List.
2. Klicken Sie neben Ihrer Domain auf Manage.
3. Öffnen Sie den Reiter Advanced DNS.
4. Klicken Sie unter Host Records auf Add New Record.
5. Setzen Sie den Type des Eintrags auf CAA Record.
6. Geben Sie im Feld Host ein: @ Das @ steht für die Wurzel Ihrer Domain. Geben Sie hier nicht Ihren Domainnamen ein.
7. Geben Sie im Feld Flag ein: 0
8. Wählen Sie im Feld Tag: issue
9. Geben Sie im Feld Value (CA-Domain) die Kennung Ihrer Zertifizierungsstelle ein, zum Beispiel: letsencrypt.org
10. Belassen Sie TTL auf Automatic.
11. Klicken Sie zum Speichern auf das grüne Häkchen und dann auf Save All Changes, falls dazu aufgefordert.

Mehr als eine Zertifizierungsstelle zulassen

Die meisten Domains nutzen mit der Zeit mehr als eine Stelle — etwa heute ein kostenloses und später ein bezahltes Zertifikat oder ein anderes für einen separaten Dienst. Um mehrere zuzulassen, fügen Sie für jede einen eigenen CAA-Eintrag hinzu. Alle verwenden denselben @-Host, dasselbe 0-Flag und denselben issue-Tag — nur der Wert ändert sich:

• ein Eintrag mit dem Wert letsencrypt.org
• ein Eintrag mit dem Wert digicert.com

Zusammen sagen sie: beide Stellen sind zugelassen, keine andere. Sie fassen sie nicht in einem einzigen Eintrag zusammen.

Namecheap-Eigenheiten, die häufig falsch gemacht werden

• Der größte Fehler ist, die eigene Stelle auszusperren. Wenn Sie einen CAA-Eintrag mit nur digicert.com anlegen, Ihr Zertifikat aber tatsächlich über Let’s Encrypt verlängert wird, schlägt die nächste Verlängerung still fehl und Ihr Schloss-Symbol kann Wochen später brechen. Nehmen Sie immer jede tatsächlich genutzte Stelle auf, bevor Sie speichern.
• Host ist @, nicht Ihre Domain. Ihren vollen Domainnamen im Host-Feld einzutragen, legt den Eintrag an der falschen Stelle an. Verwenden Sie @ für die Wurzel.
• Flag ist 0 für einen normalen Eintrag. Der andere Wert, 128, ist ein strikter Modus, der eine nicht regelkonforme Stelle rundheraus ablehnen lässt — nutzen Sie ihn nur bewusst. Im Normalfall 0.
• Verwenden Sie die nackte Domain, keine URL. Der Wert ist letsencrypt.org, niemals https://letsencrypt.org und niemals www..
• Wählen Sie den CAA-Typ, nicht TXT. Namecheap hat einen eigenen CAA Record-Typ — nutzen Sie diesen, statt einen CAA von Hand in einen TXT-Eintrag zu schreiben.
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirken. Bestehende Zertifikate funktionieren weiter; CAA wird nur geprüft, wenn ein neues ausgestellt oder verlängert wird.

Prüfen, ob es funktioniert hat

Sobald gespeichert und verteilt, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob Ihr CAA-Eintrag vorhanden ist und welche Stellen Sie zugelassen haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.