CAA steht für Certificate Authority Authorization. Mit diesem Ressource Record wird festgelegt, welche CA´s (Certificate Authorities) für die von Ihnen verwaltete Internet-Domain SSL-Zertifikate ausstellen dürfen.
Die Angabe eines CAA Ressource Records ist optional, dient aber Ihrer Sicherheit: Mit dieser Maßnahme soll verhindert werden, dass unautorisiert TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden. Ist kein CAA Ressource Record vorhanden, darf jede CA für Ihre Domain ein TLS-Zertifikat ausstellen.
Die Angabe der D-TRUST CA in Ihrem CAA Ressource Record stellt sicher, dass keine unautorisierten TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden können.
Beispiele eines CAA Ressource Records, in dem D-TRUST als autorisierte CA angegeben wird:
- Alle TLS-Zertifikatstypen (inkl. Wildcard)
example.com. CAA 0 issue "d-trust.net"
- Ausschließlich Wildcard-TLS-Zertifikate
example.com. CAA 0 issuewild "d-trust.net"
Der erste Eintrag gilt für alle TLS-Zertifikatstypen, der zweite Eintrag gilt ausschließlich für Wildcard-TLS-Zertifikate. Wollen Sie alle TLS-Zertifikatstypen über eine CA beziehen, genügt der erste Eintrag. Weitergehende Informationen finden Sie im RFC 6844.
Wo wird der Eintrag vorgenommen?
Sie können einen entsprechenden CAA-Record in der DNS Konfiguration Ihres Domain-Providers (z.B. 1und1, Strato etc.) vornehmen.
HINWEIS: Bitte beachten Sie, dass die D-TRUST GmbH Ihnen keine TLS-Zertifikate ausstellen kann, wenn in Ihrem CAA Ressource Record eine andere CA als die D-TRUST GmbH aufgeführt ist.