Zum Hauptinhalt springen
EU Web Security: In 10 Schritten zum besseren Rating · Teil 8

CAA Records: Wer darf Zertifikate fuer Ihre Domain ausstellen?

97% der EU-Domains haben keinen CAA-Record. Jede CA der Welt kann ein gueltiges Zertifikat fuer sie ausstellen. Ein DNS-Eintrag aendert das.

· SiteGuardian

Teil 8 der Serie „EU Web Security: In 10 Schritten zum besseren Rating"

Das Problem

Es gibt hunderte Zertifizierungsstellen (CAs) weltweit. Jede einzelne kann ein gültiges TLS-Zertifikat für jede Domain ausstellen — es sei denn, ein CAA-Record sagt explizit: "nur diese eine CA".

Ohne CAA: Ein Angreifer, der eine beliebige CA kompromittiert (oder eine in einem Land mit geringer Aufsicht nutzt), kann ein gültiges Zertifikat für ihre-domain.de ausstellen. Browser akzeptieren es ohne Warnung.

Mit CAA: Die CA prüft vor der Ausstellung den CAA-Record. Steht sie nicht drin, lehnt sie ab.

CAA-Adoption in der EU: 3%. 97% der Domains vertrauen blind jeder CA der Welt.

So richten Sie CAA ein

Ein CAA-Record ist ein DNS-Eintrag (Typ CAA):

ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issuewild ";"
ihre-domain.de. IN CAA 0 iodef "mailto:security@ihre-domain.de"
  • issue "letsencrypt.org" — nur Let's Encrypt darf normale Zertifikate ausstellen
  • issuewild ";" — niemand darf Wildcard-Zertifikate ausstellen
  • iodef "mailto:..." — Benachrichtigung bei Verstossen

Mehrere CAs erlauben

ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issue "digicert.com"

Provider-spezifische CA-Namen

CA CAA-Wert
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo (Comodo) sectigo.com
GlobalSign globalsign.com
Amazon/ACM amazon.com
Google Trust pki.goog

Häufige Fehler

1. CAA setzen ohne zu wissen, welche CA das aktuelle Zertifikat ausgestellt hat. Prüfen Sie zuerst: openssl s_client -connect ihre-domain.de:443 | openssl x509 -noout -issuer. Tragen Sie diese CA ein.

2. Wildcard vergessen. issuewild ist separat von issue. Ohne explizites issuewild darf jede CA ein Wildcard-Zertifikat ausstellen — auch wenn issue eingeschränkt ist.

3. Subdomains nicht beachten. CAA wird hierarchisch vererbt. Ein Record auf ihre-domain.de gilt auch für www.ihre-domain.de — es sei denn, die Subdomain hat einen eigenen CAA-Record.

Prüfen Sie Ihre Domain

https://siteguardian.io/scan

Nächste Woche in Teil 9: Cookie-Compliance — Pre-Consent-Cookies, Third-Party-Transfers und was CNIL, AEPD und der EuGH dazu sagen.

Wie schneidet Ihre Website im Vergleich ab?

SiteGuardian scannt Ihre Domain über sechs Sicherheitsdimensionen — kostenlos, sofort, ohne Registrierung.

Website scannen

EU Web Security: In 10 Schritten zum besseren Rating

Dieser Artikel ist Teil einer wöchentlichen Serie zu Best Practices der EU-Web-Sicherheit.

SiteGuardian

2026-06-01

RSS