Bei der Beantragung eines SSL/TLS-Zertifikats sind viele Domaininhaber überrascht, wenn ihre Anfrage abgelehnt wird. Obwohl ihre DNS-Einstellungen korrekt zu sein scheinen und die Zertifizierungsstelle (CA) vertrauenswürdig erscheint.
In vielen dieser F?lle wird das Problem durch einen CAA-Eintrag verursacht.
Dieser Artikel erkl?rt was ein CAA-Eintrag ist, warum er existiert, und wie er sich direkt auf die Ausstellung von SSL-Zertifikaten auswirken kann, in einfachem Deutsch, damit Sie h?ufige Fehler vermeiden k?nnen.
Warum schl?gt ein SSL-Zertifikat fehl, obwohl alles korrekt aussieht?
H?ufige Fragen von Domaininhabern sind zum Beispiel:
-
"Meine SSL-Anfrage schl?gt st?ndig fehl, was ist falsch?"
-
"Die CA sagt, meine DNS blockiert die Ausstellung, aber ich habe nichts ge?ndert."
-
"Ist ein CAA-Eintrag erforderlich oder optional?"
Hier ist der wichtigste Punkt, den Sie vorab verstehen sollten:
Wenn Ihre Domain einen CAA-Eintrag hat, der die von Ihnen verwendete Zertifizierungsstelle nicht autorisiert, kann das SSL-Zertifikat nicht ausgestellt werden.
Dieses Verhalten ist nicht optional. Es wird durch branchenweite Regeln durchgesetzt.
Was ist ein CAA-Eintrag?
Ein CAA (Certification Authority Authorization)-Eintrag ist ein DNS-Eintrag, der angibt, welche Zertifizierungsstellen berechtigt sind, SSL/TLS-Zertifikate für Ihre Domain auszustellen.
Einfach gesagt:?Ein CAA-Eintrag fungiert wie eine Whitelist für die Ausstellung von SSL-Zertifikaten.
Nur die CAs, die explizit in Ihrem CAA-Eintrag aufgeführt sind, dürfen Zertifikate für Ihre Domain ausstellen.
Was passiert, wenn Sie keinen CAA-Eintrag setzen?
Kein CAA-Eintrag zu haben bedeutet nicht automatisch, dass Ihre Seite unsicher ist.
Ohne einen CAA-Eintrag gilt jedoch:
-
Jede vertrauenswürdige CA darf ein Zertifikat für Ihre Domain ausstellen
-
Dies erh?ht das Risiko von Fehlausstellungen oder unautorisierten Zertifikaten
-
Sie haben weniger Kontrolle darüber, wer in Ihrem Namen Zertifikate ausstellen kann
Aus diesen Risiken heraus sind Zertifizierungsstellen nun verpflichtet, CAA-Eintr?ge vor der Ausstellung von Zertifikaten zu überprüfen.
Hierher rührt der Gro?teil der Verwirrung.
Die h?ufigsten Fehlerszenarien
-
Ein CAA-Eintrag existiert, aber schlie?t die aktuelle CA nicht ein
-
issueist gesetzt, aberissuewildfehlt für Wildcard-Zertifikate -
Eine Subdomain erbt einen restriktiven CAA-Eintrag von der übergeordneten Domain
-
Der Domaininhaber wechselt die Zertifizierungsstelle, vergisst aber, den CAA-Eintrag zu aktualisieren
Dadurch ist die CA technisch verboten, das Zertifikat auszustellen.
Die drei Haupttypen von CAA-Tags
issue
Autorisiert eine CA zur Ausstellung von Standard-SSL-Zertifikaten für die Domain.
issuewild
Autorisiert eine CA zur Ausstellung von Wildcard-Zertifikaten (z. B. .example.com).
iodef
Gibt an, wohin Verletzungsberichte gesendet werden sollen, falls ein unautorisiertes Zertifikat ausgestellt wird (optional).
Wann sollten Sie einen CAA-Eintrag verwenden und wann ist er optional?
Dringend empfohlen
-
Business- und Firmen-Websites
-
E-Commerce-, Zahlungs- oder Login-Systeme
-
Domains, die auf eine bestimmte CA angewiesen sind
Kann optional sein
-
Test- oder Staging-Umgebungen
-
Tempor?re oder experimentelle Projekte
-
Seiten, bei denen die Kontrolle der Zertifikatsquelle nicht kritisch ist
Wichtig ist nicht, ob CAA ?obligatorisch“ ist, sondern ob Sie die Folgen verstehen.
Wie Sie CAA-Eintr?ge sicher setzen (ohne SSL zu blockieren)
Bevor Sie einen CAA-Eintrag hinzufügen oder ?ndern, best?tigen Sie:
-
Welche CA derzeit Ihre Zertifikate ausstellt
-
Ob Sie Wildcard-Zertifikate verwenden
-
Ob Sie zukünftig m?glicherweise die CA wechseln werden
Ein falsch konfigurierter CAA-Eintrag blockiert sofort die Ausstellung von SSL-Zertifikaten.
Warum es CAA-Eintr?ge überhaupt gibt
CAA-Eintr?ge wurden eingeführt, um die Zertifikatsausstellung:
-
transparenter zu machen
-
mehr Kontrolle durch Domaininhaber zu erm?glichen
-
weniger anf?llig für versehentliche oder b?swillige Fehlausstellungen zu sein
Sie sind dazu gedacht, die Sicherheit zu erh?hen, nicht das SSL-Management zu erschweren.
CAA-Eintr?ge geben Domaininhabern Kontrolle darüber, wer SSL-Zertifikate für ihre Domains ausstellen darf.
Wenn korrekt konfiguriert, verbessern sie die Sicherheit.Bei Fehlkonfiguration sind sie eine h?ufige Ursache für SSL-Ausstellungsfehler.
Das Verst?ndnis von CAA-Eintr?gen hilft Ihnen, Verwirrung, Verz?gerungen und unn?tige Supportanfragen zu vermeiden.
Die korrekte Verwaltung von DNS und SSL erfordert sowohl technische Klarheit als auch die Einhaltung von Richtlinien.
Als von der ICANN akkreditierter Registrar unterstützt Nicenic Domaininhaber dabei, DNS-, Sicherheits- und Zertifikatskonfigurationen sicher und zuverl?ssig zu verwalten – gem?? global anerkannten Standards.
Nicenic ist dieser vertrauensvolle Partner für Marken, Entwickler, Unternehmer und Unternehmen weltweit.
N?chste Nachrichten: Alles, was Sie über Domainmigrationen und SEO-Signale wissen müssen
