ServerRecords

Hilfe & Fehlerbehebung

CAA-Eintrag

Worum es geht

CAA-Einträge legen fest, welche Zertifizierungsstellen TLS-Zertifikate für die Domain ausstellen dürfen. Zertifizierungsstellen sind verpflichtet, vor der Ausstellung CAA zu prüfen; eine Stelle, die nicht auf der Liste steht, muss ablehnen.

So liest du dein Ergebnis

Kein CAA-Eintrag bedeutet, dass jede Zertifizierungsstelle ausstellen darf (die Voreinstellung vor CAA — üblich und akzeptabel). Wenn Einträge existieren, stelle sicher, dass jede tatsächlich genutzte Zertifizierungsstelle aufgeführt ist, einschließlich derer, die dein CDN oder deine Hosting-Plattform indirekt nutzt.

Häufige Probleme und wie du sie behebst

CAA blockiert die Zertifizierungsstelle, die deine Automatisierung nutzt

Wie es sich zeigt: Die Zertifikatserneuerung schlägt plötzlich fehl — Let's Encrypt oder dein CDN meldet einen CAA-Fehler — und die Website zeigt eine Warnung wegen abgelaufenen Zertifikats, sobald das alte Zertifikat ausläuft.

So behebst du es: Füge einen issue-Eintrag für die Zertifizierungsstelle hinzu, z. B. 0 issue "letsencrypt.org", neben den bestehenden Einträgen. Denke daran, dass Plattformen wie Cloudflare oder Netlify über ihre eigenen CA-Partner ausstellen — prüfe deren Dokumentation, welche CAA-Einträge sie benötigen.

CAA auf dem Elternteil einer Subdomain widerspricht dem, was die Subdomain braucht

Wie es sich zeigt: Zertifikate werden für die Hauptseite problemlos ausgestellt, scheitern aber für eine Subdomain, die auf einer anderen Plattform gehostet wird.

So behebst du es: CAA wird vom nächstgelegenen Vorfahren geerbt, der einen besitzt. Erweitere entweder das CAA des Elternteils um die Zertifizierungsstelle der Subdomain, oder setze einen spezifischen CAA-Eintrag auf der Subdomain selbst, der das Elternteil für diesen Namen überschreibt.

Abfrage für diesen Eintrag starten