CAA-Eintrag kann die Ausstellung des Zertifikats verhindern

CAA ist die Abkürzung für einen DNS-Eintragstyp, der in der DNS-Zone Ihrer Domain festlegt, welche Zertifizierungsstelle für diese ein Zertifikat ausstellen darf. Dieser Eintrag hilft, die Ausstellung eines gefälschten Zertifikats durch eine andere Autorität zu verhindern, als die, die Sie gewählt haben. Dieses Tool verhindert jedoch oft, dass unsere Kunden ein Zertifikat von DigiCert erhalten können. Daher werden wir zeigen, wie man diese Situation lösen kann.

Warum wird der CAA-Eintrag genutzt

Wenn eine Zertifizierungsstelle damit beauftragt wird, ein Zertifikat für Ihre Domain auszustellen, sollte sie die Bestellung aufgrund des CAA-Eintrags zuerst von dem Domaininhaber autorisieren lassen. Auf keinen Fall sollte sie das Zertifikat automatisch ausstellen. Alle CAs auf der Welt müssen sich heutzutage nach dem CAA Eintrag obligatorisch richten – der Domaininhaber hat somit ein mächtiges Tool zur Hand, mit welchem er die Domain schützen kann. Der CAA-Eintrag stellt für unsere Kunden aber oft ein Hindernis in der Ausstellung des Zertifikats von DigiCert dar, ohne dass sie über seine Existenz überhaupt wüssten. Wir erklären uns deshalb, wie dieses Problem gelöst werden kann.

Wenn es nicht gelingt, das Zertifikat auszustellen

Falls die Domain in dem Zertifikat, eventuell auch das Unternehmen, bereits verifiziert ist, verhindert die Ausstellung des Zertifikats meistens nur der CAA-Eintrag in DNS. Die Verifizierung des Zertifikats können Sie einfach in Ihrer Kundenverwaltung überprüfen, der Stand des CAA-Eintrags liegt jedoch nur in Ihren Händen. Die DNS-Einträge der gegebenen Domain könnnen Sie selbst kontrollieren, ändern kann sie jedoch nur eine Person mit einem Zugang zu den DNS-Einträgen der Domain.

Überprüfen Sie die CAA-Einträge in DNS

Öffnen Sie ein beliebiges Tool für die Überprüfung von DNS – zum Beispiel Google Dig, oder nutzen Sie das Dig in der Kommandozeile. Überprüfen Sie die Anwesenheit der CAA-Einträge bei der verifizierten Domain – geben Sie in dem Google Dig ihren Namen in das Feld Name ein und als Typ klicken Sie CAA an.

Das Ergebnis werden Sie augenblicklich sehen – entweder ist bei der Domain ein CAA-Eintrag eingestellt und Sie werden ihn in der Box zusammen mit seiner Laufzeit (TTL) sehen, oder wird die Antwort Record not found sein – es gibt also keinen CAA Eintrag und die Ausstellung wird von ihm nicht blockiert.

Hier ein Beispiel der Kollision – unten bei der Domain ist nur eine fremde CA aufgeführt, was bedeutet, dass DigiCert für diese Domain das Zertifikat nicht ausstellen kann. ;; ANSWER SECTION:
domain.de 600 IN CAA 1 issue "letsencrypt.org"

Ändern oder löschen Sie den CAA-Eintrag

Falls es auf der Domain einen CAA-Kollisionseintrag in DNS gibt, muss die DNS-Zone der Domain angepasst werden. Dies können Sie bei dem Registrar oder Verwalter Ihrer Domain tun, SSLmarket hat keinen Zugriff auf das DNS.

Bei der Kollision haben Sie zwei Möglichkeiten: Entweder können Sie einen CAA-Eintrag für digicert.com ergänzen, welcher für alle CAs in unserem Angebot funktionieren wird, oder den CAA-Eintrag löschen. Die CAA-Einträge der Domain könnten in unserem Fall dann folgendermaßen aussehen: ;; ANSWER SECTION:
domain.de 600 IN CAA 1 issue "letsencrypt.org"
domain.de 600 IN CAA 1 issue "digicert.com"

Nach dieser Anpassung wird das Zertifikat problemlos automatisch ausgestellt, da die Änderungen in der Regel innerhalb einer Stunde wirksam werden und von DigiCert erkannt werden. Natürlich können Sie sich aber auch an unseren Support wenden.

War für Sie dieser Artikel nützlich?