Skip to content

Der CAA Record: Wer darf Zertifikate für deine Domain ausstellen?

Ohne CAA Record kann jede Zertifizierungsstelle der Welt ein gültiges Zertifikat für deine Domain ausstellen. Das ist kein Fehler – das ist der Default.

Was ist ein CAA Record?

Der CAA Record (Certificate Authority Authorization) ist eine Whitelist. Er sagt: "Nur diese Zertifizierungsstellen dürfen TLS-Zertifikate für meine Domain ausstellen." Jede seriöse CA ist verpflichtet, den CAA Record zu prüfen, bevor sie ein Zertifikat ausstellt.

Ein typischer CAA Record sieht so aus:

example.com. CAA 0 issue "letsencrypt.org"

Das bedeutet: Nur Let's Encrypt darf Zertifikate für example.com ausstellen. Alle anderen CAs müssen ablehnen.

Was passiert ohne CAA Record?

Nichts Gutes. Ohne CAA Record gibt es keine Einschränkung. Jede der hunderten Zertifizierungsstellen weltweit darf ein gültiges Zertifikat für deine Domain ausstellen – solange sie die Domain-Validierung besteht.

Das ist der Default. Und die meisten Domains haben keinen CAA Record.

Das bedeutet: Wenn ein Angreifer die DNS-Challenge bestehen kann (z.B. weil er kurzzeitig DNS kontrolliert), kann er sich ein Zertifikat von irgendeiner CA ausstellen lassen. Dein Browser zeigt das grüne Schloss. Deine Nutzer merken nichts.

Wie sieht ein Angriff aus?

Szenario 1: Ein Angreifer entfernt deinen CAA Record. Jetzt kann er bei einer beliebigen CA ein Zertifikat beantragen – nicht nur bei der, die du normalerweise nutzt. Er wählt eine CA mit schwacher Validierung oder eine, bei der er die Prüfung manipulieren kann.

Szenario 2: Der Angreifer ändert deinen CAA Record, sodass eine zusätzliche CA erlaubt ist. Subtiler – dein Let's Encrypt funktioniert weiter, aber jetzt darf auch eine andere CA Zertifikate ausstellen. Der Angreifer nutzt diese CA, um ein paralleles Zertifikat zu bekommen.

Szenario 3: Kein Angriff, aber ein Risiko. Du hast keinen CAA Record gesetzt. Ein Mitarbeiter bestellt versehentlich ein Zertifikat bei einer anderen CA. Oder ein alter Prozess nutzt noch eine CA, die du längst nicht mehr verwenden wolltest. Ohne CAA gibt es keine Leitplanke.

CAA und Certificate Transparency

Certificate Transparency (CT) Logs protokollieren jedes ausgestellte Zertifikat öffentlich. Das ist gut – aber es ist reaktiv. Du erfährst erst nach der Ausstellung, dass jemand ein Zertifikat für deine Domain hat.

CAA ist präventiv. Es verhindert die Ausstellung im Vorfeld. Beide zusammen ergeben eine starke Verteidigung: CAA begrenzt, wer ausstellen darf. CT-Logs zeigen, ob sich jemand nicht daran gehalten hat.

Warum CAA-Änderungen kritisch sind

CAA Records ändern sich selten. Du legst einmal fest, welche CA du nutzt, und dann bleibt das. Ein Provider-Wechsel passiert vielleicht alle paar Jahre.

Deshalb ist jede Änderung am CAA Record ein Signal:

• Record entfernt? Jemand hat die Einschränkung aufgehoben.
• Neue CA hinzugefügt? Jemand will Zertifikate von woanders.
• CA geändert? Entweder ein geplanter Wechsel – oder nicht.

In jedem Fall willst du es wissen. Sofort.

Was Driftguard erkennt

Driftguard erfasst deine CAA Records als Baseline: Welche CAs sind erlaubt, welche Flags sind gesetzt. Bei jedem Check wird verglichen. Entfernte Records, neue CAs, geänderte Policies – alles wird erkannt.

Kombiniert mit der TLS-Überwachung ergibt sich ein vollständiges Bild: Driftguard sieht, wenn sich die Regeln ändern (CAA) und wenn neue Zertifikate auftauchen (TLS-Monitoring). Beides zusammen macht Angriffe auf deine Verschlüsselungskette sichtbar.