CAA-Eintrag kann die Ausstellung des Zertifikats verhindern

Die Abkürzung CAA steht für einen Typ des DNS-Eintrags, welcher in der DNS-Zone der Domain bestimmt, welche Zertifizierungsstelle für diese Domain ein Zertifikat ausstellen darf. Dank dem CAA-Eintrag kann es deshalb nicht dazu kommen, dass für Ihre Domain ein gefälschtes Zertifikat und von einer anderen Zertifizierungsstelle als Sie bestimmt haben ausgestellt wird. Wegen dieses Tools misslingt es unseren Kunden aber oft, das Zertifikat von DigiCert auszustellen. Deshalb zeigen wir uns, wie diese Situation gelöst werden kann.

Warum wird der CAA-Eintrag genutzt

Wenn eine Zertifizierungsstelle damit beauftragt wird, ein Zertifikat für Ihre Domain auszustellen, sollte sie die Bestellung aufgrund des CAA-Eintrags zuerst von dem Domaininhaber autorisieren lassen. Auf keinen Fall sollte sie das Zertifikat automatisch ausstellen. Alle CAs auf der Welt müssen sich heutzutage nach dem CAA Eintrag obligatorisch richten – der Domaininhaber hat somit ein mächtiges Tool zur Hand, mit welchem er die Domain schützen kann. Der CAA-Eintrag stellt für unsere Kunden aber oft ein Hindernis in der Ausstellung des Zertifikats von DigiCert dar, ohne dass sie über seine Existenz überhaupt wüssten. Wir erklären uns deshalb, wie dieses Problem gelöst werden kann.

Wenn es nicht gelingt, das Zertifikat auszustellen

Falls die Domain in dem Zertifikat, eventuell auch das Unternehmen, bereits verifiziert ist, verhindert die Ausstellung des Zertifikats meistens nur der CAA-Eintrag in DNS. Die Verifizierung des Zertifikats können Sie einfach in Ihrer Kundenverwaltung überprüfen, der Stand des CAA-Eintrags liegt jedoch nur in Ihren Händen. Die DNS-Einträge der gegebenen Domain könnnen Sie selbst kontrollieren, ändern kann sie jedoch nur eine Person mit einem Zugang zu den DNS-Einträgen der Domain.

Überprüfen Sie die CAA-Einträge in DNS

Öffnen Sie ein beliebiges Tool für die Überprüfung von DNS – zum Beispiel Google Dig, oder nutzen Sie das Dig in der Kommandozeile. Überprüfen Sie die Anwesenheit der CAA-Einträge bei der verifizierten Domain – eventuell geben Sie in dem Google Dig ihren Namen in das Feld Name ein und als Typ klicken Sie CAA an.

Das Ergebnis werden Sie augenblicklich sehen – entweder ist bei der Domain ein CAA-Eintrag eingestellt und Sie werden ihn in der Box zusammen mit seiner Laufzeit (TTL) sehen, oder wird die Antwort Record not found sein – es gibt also keinen CAA Eintrag und die Ausstellung wird von ihm nicht blockiert.

Hier ein Beispiel der Kollision – unten bei der Domain ist nur eine fremde CA aufgeführt, was bedeutet, dass DigiCert für diese Domain das Zertifikat nicht ausstellen kann. ;; ANSWER SECTION:
domain.de 600 IN CAA 1 issue "letsencrypt.org"

Ändern oder löschen Sie den CAA-Eintrag

Falls es auf der Domain einen CAA-Kollisionseintrag in DNS gibt, muss die DNS-Zone der Domain angepasst werden. Dies können Sie bei dem Registrar oder Verwalter Ihrer Domain tun, SSLmarket hat zu DNS keinen Zugang.

Bei der Kollision haben Sie zwei Möglichkeiten: Entweder können Sie einen CAA-Eintrag für digicert.com ergänzen, welcher für alle CAs in unserem Angebot funktionieren wird, oder den CAA-Eintrag löschen. Die CAA-Einträge der Domain könnten in unserem Fall dann folgendermaßen aussehen: ;; ANSWER SECTION:
domain.de 600 IN CAA 1 issue "letsencrypt.org"
domain.de 600 IN CAA 1 issue "digicert.com"

Nach dieser Anpassung wird das Zertifikat automatisch ausgestellt, weil die Änderung typischerweise bis eine Stunde öffentlich wird und DigiCert wird sie aufrufen können. Natürlich können Sie sich aber auch an unseren Support wenden.