Ein Certification Authority Authorization-Record (CAA) legt die Zertifizierungsstelle (CA=Certificate Authority) fest, die berechtigt ist ein Zertifikat für eine Domain auszustellen. Dadurch kann keine andere Zertifizierungsstelle Zertifikate für diese Domain ausstellen.

Aufbau eines CAA-Records

Du kannst die CAA-Records in den DNS-Einstellungen der Domain anlegen.

Der Eintrag in der Spalte Wert besteht aus folgenden Teileinträgen:

Flag: Ein Wert zwischen 0-255. Dient der Repräsentation des "critical flag" nach RFC.
Tag: Ein ASCII-String, der die Eigenschaft darstellt.

• issue: Autorisiert die bei "Wert" angegebene CA zur Ausstellung der Zertifikate
• issuewild: Erlaubt Wildcard-Zertifikate
• iodef: E-Mail-Adresse, an die die CA Benachrichtigungen zur Ausstellung des Zertifikates schickt. Wird aktuell nicht von allen CAs unterstützt.

Wert: Wert, der 'Tag' zugeordnet ist.

Beispiel nach BIND-Syntax:

example.com. 300 IN CAA 0 issue "digicert.com"
example.com. 300 IN CAA 0 issuewild "digicert.com"
example.com. 300 IN CAA 0 iodef "mailto:customer@example.com"

Übersicht der gültigen Werte für die Zertifizierungsstelle

Um die Berechtigung an DigiCert und ihre Produktlinien zu vergeben, kannst du jeden der beiden DigiCert Einträge verwenden, denn jedes enthält alle Produkte/Brands von DigiCert.

Die restlichen Einträge gelten nur für die jeweilige CA.

• digicert.com und www.digicert.com

• thawte.com

• geotrust.com

• rapidssl.com

• globalsign.com

• sectigo.com

Mehreren CAs die Ausstellung von Zertifikaten erlauben

Wenn mehrere CAs die Berechtigung erhalten sollen Zertifikate auszustellen, können mehrere CAA-Records pro Domain eingetragen werden.