Häufig gestellte Fragen zur CAA (Certification Authority Authorization)

Dieser Artikel beantwortet einige häufig gestellte Fragen zu CAA-DNS-Einträgen.


Was ist CAA?

Ein CAA-Datensatz (Certificate Authority Authorization) ermöglicht Domainbesitzern, die Ausstellung auf bestimmte CAs (Certificate Authorities) zu beschränken. CAA-Einträge verhindern, dass CAs unter bestimmten Umständen Zertifikate ausstellen.  Weitere Informationen finden Sie in RFC 6844.


Wie wertet Cloudflare CAA-Einträge aus?

CAA-Einträge werden von einer Zertifizierungsstelle und nicht von Cloudflare ausgewertet.

Das Festlegen eines CAA-Eintrags zum Angeben einer oder mehrerer bestimmter CAs hat keine Auswirkung darauf, welche CAs Cloudflare zum Ausstellen eines universellen oder dedizierten SSL-Zertifikats für Ihre Domain verwendet.

Warum muss ich Universal SSL deaktivieren, wenn meine CAA-Einträge die Ausstellung von Universal SSL ausschließen?

Da Universal SSL-Zertifikate von Kunden gemeinsam genutzt werden, verhindern Ihre CAA-Einträge möglicherweise die Ausgabe von Universal SSL eines anderen Kunden. Daher muss Cloudflare Universal SSL für Ihre Domain deaktivieren, um sicherzustellen, dass Ihre CAA-Einträge keinen anderen Kunden betreffen.

CAA-Einträge werden automatisch für die Universal SSL-CA-Anbieter comodoca.com, digicert.com und letsencrypt.org hinzugefügt, wenn das Universal SSL von Cloudflare für Ihre Domain aktiviert ist.

Wenn Sie kein universelles SSL von Cloudflare benötigen, deaktivieren Sie Universal SSL in der App SSL/TLS.

Durch Deaktivieren von Universal SSL bleiben Ihre Cloudflare-fähigen DNS-Einträge ohne SSL-Unterstützung, es sei denn, Sie haben ein benutzerdefiniertes SSL-Zertifikat hochgeladen. (Hierfür ist der Plan „Business“ oder „Enterprise“ erforderlich).

Welche Datensätze werden hinzugefügt, um Universal SSL aktiviert zu halten?

Die folgenden DNS-Einträge werden automatisch festgelegt, wenn Sie weiterhin die kostenlosen Universal SSL-Zertifikate von Cloudflare verwenden:

example.com. IN CAA 0 issue "comodoca.com"example.com. IN CAA 0 issue "digicert.com"example.com. IN CAA 0 issue "letsencrypt.org"example.com. IN CAA 0 issuewild "comodoca.com"example.com. IN CAA 0 issuewild "digicert.com"example.com. IN CAA 0 issuewild "letsencrypt.org"
Verwenden Sie nicht die Option Nur Platzhalter erlauben für den Stammdatensatz (der nur issuewild-Datensätze zurückgibt) für Domains, die Cloudflares Universal SSL verwenden.

Allein verwendet, erlaubt issuewild nur die Ausgabe von Platzhaltern.  Daher kann Cloudflare Ihre Stammdomain nur zum Zertifikat hinzufügen, wenn Sie die Option Platzhalter und bestimmte Hostnamen zulassen in der Dropdown-Liste Tag angeben:

configuring_caa_records_comodoca_annotated.png


Was passiert, wenn Universal SSL deaktiviert ist?

Ihr Domain-Name wird sofort aus dem universellen SSL-Zertifikat entfernt und Ihre Benutzer werden SSL-Fehler feststellen, es sei denn, Sie laden ein benutzerdefiniertes SSL-Zertifikat hoch. (Hierfür ist der Plan „Business“ oder „Enterprise“ erforderlich).


Wie aktiviere ich erneut Universal SSL?

Erstellen Sie ein Support-Ticket beim Cloudflare-Support.


Was sind die Gefahren beim Einstellen von CAA-Rekorden?

Wenn Sie Teil einer großen Organisation sind oder mehrere Parteien mit dem Abrufen von SSL-Zertifikaten beauftragt sind, fügen Sie CAA-Einträge hinzu, die die Ausstellung für alle für Ihre Organisation geltenden CAs ermöglichen.  Andernfalls kann die SSL-Ausgabe für andere Teile Ihrer Organisation versehentlich blockiert werden.

 

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk