CAA-Einträge (Certification Authority Authorization) sind DNS-Einträge, mit denen eine Zertifizierungsstelle (eine Partei, die SSL-Zertifikate ausstellt) überprüfen kann, ob sie ein Zertifikat für Ihre Domain ausstellen darf. Darüber hinaus können Browser prüfen, ob das Zertifikat, das Ihre Domain bereitstellt, tatsächlich für Ihre Domain funktionieren darf. Dies macht den Missbrauch durch Websites mit HTTPS weniger einfach.


Der CAA-Satz

Ein DNS-Eintrag vom Typ CAA besteht aus drei Teilen


  • Ein Flag, das angibt, ob der Datensatz streng angewendet werden soll oder nicht. 0 ist nicht streng, 1 ist streng.
  • Ein Eigenschafts-Tag, das die Rolle dieses Datensatzes angibt.
  • Der eigentliche Inhalt des CAA-Satzes


Es gibt drei Property-Tags


  • issue - gibt an, ob eine CA ein Zertifikat ausstellen darf.
  • issuewild - gibt an, ob eine CA ein Zertifikat ausstellen darf, das als Wildcard funktioniert.
  • Periodf - wer sollte per E-Mail benachrichtigt werden, wenn ein Verstoß gegen den CAA-Datensatz vorliegt.



Der CAA-Teil einer Zone kann also mehrere Sätze enthalten. Nachfolgend ein Beispiel.


example.com. CAA 0 issue "comodoca.com"
example.com. CAA 0 issuewild ";"
example.com. CAA 0 iodef "abuse@example.com"


Im obigen Beispiel kann CA Comodo-Zertifikate ausstellen. Es wurde keine CA als Wildcard eingetragen und bei Verstößen wird abuse@example.com per E-Mail verschickt.


Bei Savvii
Bei Savvii stellt man keinen CAA-Rekord auf. Sie richten dies mit dem Partner ein, der Ihr DNS verwaltet. Für Subdomains muss kein eigener CAA-Eintrag angelegt werden.

Der Inhalt Ihres CAA-Datensatzes hängt von den Lieferanten Ihrer Zertifikate ab. Wenn Sie ein bezahltes Zertifikat von Savvii (DV, WC oder EV) nehmen, wird es von Comodo ausgestellt und Sie müssen "comodoca.com" im Falle der Ausstellung einrichten. Savvii erstellt auch automatisch Zertifikate von Let's Encrypt. Verwenden Sie dazu das Problem "Injencrypt.org". Bei Bedarf können Sie auch eigene Lieferanten für Zertifikate hinzufügen. Sie haben keine eigenen Lieferanten? Dann ist das folgende Beispiel gut nutzbar. Bitte beachten Sie, dass Sie das "issuewild" nur verwenden, wenn Sie tatsächlich solche Zertifikate bestellen!

savviivoorbeeld.nl. CAA 0 issue "comodoca.com"
savviivoorbeeld.nl. CAA 0 issue "letsencrypt.org"
savviivoorbeeld.nl. CAA 0 issuewild ";"
savviivoorbeeld.nl. CAA 0 iodef "jouw@e-mailadres.nl"