Defaults.Exposed › Einrichtung › CAA

So richten Sie einen CAA-Eintrag bei AWS Route 53 ein

Legen Sie bei AWS Route 53 einen CAA-Eintrag an, um festzulegen, welche Zertifizierungsstellen SSL-Zertifikate für Ihre Domain ausstellen dürfen.

Warum das für Ihr Geschäft wichtig ist

Ein CAA-Eintrag (Certification Authority Authorization, also die Berechtigung von Zertifizierungsstellen) benennt, welche Zertifizierungsstellen — die Unternehmen, die die SSL/TLS-Zertifikate hinter dem Schloss-Symbol im Browser ausstellen — ein Zertifikat für Ihre Domain ausstellen dürfen. Jede regelkonforme Stelle muss diesen Eintrag zuerst prüfen und die Anfrage ablehnen, wenn sie nicht auf der Liste steht.

Im Klartext: Ohne CAA-Eintrag könnte jede von Hunderten Zertifizierungsstellen weltweit getäuscht werden oder einen Fehler machen und jemandem ein gültiges Zertifikat für Ihre Domain aushändigen — das ein Angreifer nutzen könnte, um Ihre Website überzeugend zu imitieren. Ein CAA-Eintrag schließt diese Tür, indem er sagt: nur diese Stellen, sonst niemand. Das ist kostenlos und in wenigen Minuten erledigt.

Prüfen Sie, ob Route 53 Ihr DNS betreibt

Das funktioniert nur, wenn Route 53 das DNS für Ihre Domain beantwortet. In Route 53 liegen Ihre Einträge in einer Hosted Zone für die Domain, und diese Zone ist nur aktiv, wenn die Nameserver Ihrer Domain auf die vier in der Zone aufgeführten Route-53-Nameserver zeigen. Öffnen Sie die Hosted Zone, prüfen Sie deren NS-Eintrag und vergewissern Sie sich, dass diese Nameserver bei Ihrem Registrar gesetzt sind. Zeigen Ihre Nameserver woanders hin, legen Sie den CAA-Eintrag bei dem Anbieter an, der Ihr DNS betreibt.

Klären Sie zuerst Ihre Zertifizierungsstelle

Bevor Sie etwas hinzufügen, finden Sie heraus, welche Stelle Ihr Zertifikat ausstellt — sonst riskieren Sie, Ihren eigenen Anbieter auszusperren. Gängige Werte:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (von den meisten kostenlosen und automatisierten Zertifikaten genutzt)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Wenn Sie Zertifikate über AWS Certificate Manager bereitstellen, müssen Sie amazon.com zulassen, sonst kann ACM nicht ausstellen. Wenn Sie unsicher sind, fragen Sie, wer Ihr Hosting eingerichtet hat, oder prüfen Sie das Zertifikat im Browser (auf das Schloss klicken, dann den Aussteller des Zertifikats ansehen).

Schritt für Schritt bei Route 53

1. Melden Sie sich an der AWS Management Console an und öffnen Sie Route 53.
2. Wählen Sie im linken Menü Hosted zones und dann Ihre Domain.
3. Klicken Sie auf Create record.
4. Lassen Sie das Feld Record name leer, um den Eintrag auf die Wurzel Ihrer Domain (den Apex) anzuwenden. Geben Sie hier nicht Ihren Domainnamen ein.
5. Setzen Sie Record type auf CAA.
6. Geben Sie im Feld Value den Eintrag im dreiteiligen Route-53-Format in einer Zeile ein: 0 issue "letsencrypt.org" Das sind die Flags (0), dann der Tag (issue), dann die Zertifizierungsstelle in doppelten Anführungszeichen.
7. Belassen Sie TTL auf dem Standardwert (300 Sekunden ist in Ordnung).
8. Wählen Sie Simple routing, falls gefragt, und klicken Sie dann auf Create records.

Mehr als eine Zertifizierungsstelle zulassen

Die meisten Domains nutzen mit der Zeit mehr als eine Stelle — etwa AWS Certificate Manager für einen Dienst und Let’s Encrypt für einen anderen. In Route 53 fügen Sie die weiteren Stellen als zusätzliche Zeilen im Value-Feld desselben CAA-Eintrags hinzu, eine pro Zeile:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Zusammen sagen sie: beide Stellen sind zugelassen, keine andere. Jede Zeile ist ein eigener issue-Eintrag; Sie setzen nicht zwei Stellen in eine Zeile.

Route-53-Eigenheiten, die häufig falsch gemacht werden

• Der größte Fehler ist, die eigene Stelle auszusperren. Wenn Sie einen CAA-Eintrag mit nur digicert.com anlegen, Ihr Zertifikat aber tatsächlich über Let’s Encrypt oder ACM verlängert wird, schlägt die nächste Verlängerung still fehl und Ihr Schloss-Symbol kann Wochen später brechen. Nehmen Sie immer jede tatsächlich genutzte Stelle auf, bevor Sie speichern.
• Lassen Sie amazon.com für ACM zu. Wenn Ihre Zertifikate von AWS Certificate Manager stammen und Ihr CAA-Eintrag amazon.com nicht enthält, schlagen ACM-Validierung und -Verlängerung fehl. Das ist der häufigste Route-53-spezifische Stolperstein.
• Die Anführungszeichen um die CA sind erforderlich. Route 53 erwartet 0 issue "letsencrypt.org" mit der Stelle in doppelten Anführungszeichen. Lässt man sie weg, wird der Eintrag ungültig.
• Lassen Sie den Record name für die Wurzel leer. Ein leerer Name wendet den Eintrag auf den Apex an; den Domainnamen dort einzutragen, legt ihn an der falschen Stelle an.
• Flags ist 0 für einen normalen Eintrag. Der andere Wert, 128, ist ein strikter Modus — nutzen Sie ihn nur bewusst.
• Verwenden Sie die nackte Domain, keine URL. Der Wert ist letsencrypt.org, niemals https://letsencrypt.org und niemals www..
• Geben Sie ihm Zeit. DNS-Änderungen können einige Minuten bis ein paar Stunden brauchen, bis sie wirken. Bestehende Zertifikate funktionieren weiter; CAA wird nur geprüft, wenn ein neues ausgestellt oder verlängert wird.

Prüfen, ob es funktioniert hat

Sobald gespeichert und verteilt, führen Sie die kostenlose Prüfung auf dieser Seite aus. Sie sagt Ihnen in klarer Sprache, ob Ihr CAA-Eintrag vorhanden ist und welche Stellen Sie zugelassen haben.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.