Zertifikatssicherheit
CAA-Record-Checker
CAA-DNS-Einträge am Domain-Apex abfragen, issue-, issuewild- und iodef-Tags analysieren und Ausstellungswarnungen prüfen.
So nutzen Sie das Tool
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
- CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Was das Ergebnis zeigt
Das Ergebnis trennt die Signale, die für diese Prüfung wichtig sind.
| Feld | Zweck | Beispiel |
|---|---|---|
| Domain | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Geben Sie den zu zertifizierenden Apex ein. |
| Abfragename | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Bestätigen Sie CAA-Einträge vor der Bestellung. |
| Found | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Prüfen Sie issue-Tags für Ihre CA. |
| Valid | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Vergleichen Sie issuewild getrennt von Apex-issue. |
| Records | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Fügen Sie iodef mailto oder HTTPS hinzu. |
| issue | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Nach TTL erneut prüfen bei CA-Migration. |
| issuewild | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Geben Sie den zu zertifizierenden Apex ein. |
| iodef | CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen. | Bestätigen Sie CAA-Einträge vor der Bestellung. |
Wann diese Prüfung hilft
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Was prüfen, wenn das Ergebnis falsch wirkt
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
So interpretieren Sie das Ergebnis
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Empfohlener Ablauf
- Geben Sie den zu zertifizierenden Apex ein.
- Bestätigen Sie CAA-Einträge vor der Bestellung.
- Prüfen Sie issue-Tags für Ihre CA.
- Vergleichen Sie issuewild getrennt von Apex-issue.
- Fügen Sie iodef mailto oder HTTPS hinzu.
- Nach TTL erneut prüfen bei CA-Migration.
Tool statt manueller Prüfung
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
Warum DN01
- Live Apex-CAA-Lookup
- Geparste issue-, issuewild- und iodef-Tags
- Warnungen bei fehlendem CAA
- Hinweise zu unbekannten Tags und Critical Flag
- Kombiniert mit SSL- und DNS-Tools
- Teilbare CAA-Ergebnis-URL
FAQ
CAA-Checker FAQ
DNS-CAA, issue- und issuewild-Tags, autorisierte CAs und iodef.
Was ist ein CAA-DNS-Eintrag?
CAA ist ein DNS-Typ, der autorisierte CAs für TLS-Zertifikate via issue, issuewild und iodef auflistet. CAA-Grundlagen-Leitfaden
Wo veröffentliche ich CAA?
CAA am Apex der zu zertifizierenden Domain veröffentlichen (example.com).
Unterschied issue vs issuewild?
issue regelt Standard-Zertifikate; issuewild Wildcards separat (RFC 8659).
Wie prüft DN01 CAA?
DN01 fragt live CAA am Apex ab, parst Tags und markiert fehlende oder unbekannte Policy.
Was passiert ohne CAA?
Ohne CAA darf jede public CA ausstellen — CAA vor Renewal veröffentlichen.
Warum CAA vor SSL-Renewal prüfen?
CA-Migrationen scheitern, wenn CAA den neuen Issuer blockiert — vor Bestellung validieren.
Tool-Wechsler
Mit einer anderen Prüfung fortfahren
Nächsten Schritt im Domain- oder Sicherheits-Workflow wählen.
- SSL-Zertifikats-CheckerZertifikatskette, SAN und TLS-VersionÖffnen
- DNS-CheckerAlle wichtigen Eintragstypen in einem DurchlaufÖffnen
- DIGEin Eintragstyp, Resolver-ähnliche AntwortÖffnen
- Domain-IP-SucheA- und AAAA-IP-Adressen einer DomainÖffnen
- Domain-Alter-PrüferErstellung, Alter, Registrar und AblaufÖffnen
- WHOISRegistrar, Ablaufdatum und Domain-StatusÖffnen
- HTTP-Header-CheckerAntwort-Header, Weiterleitungen und CachingÖffnen
- HTTP/2 TesterHTTP/2 Support, ALPN und TLSÖffnen
- Blacklist-CheckerDNSBL-Reputation für IP und DomainÖffnen
- Punycode-KonverterUnicode ↔ Punycode für IDN-DomainsÖffnen
- URL-SplitterURL in Teile und Parameter zerlegenÖffnen
- Base64-CodecBase64-Text kodieren und dekodierenÖffnen
- PasswortgeneratorStarke Zufallspasswörter für den BetriebÖffnen
- Passwortstärke-PrüferEntropie, Knackzeit und PassworttippsÖffnen
- Passphrase-GeneratorMerkbare zufällige Wortfolgen für sichere TestsÖffnen
- BIN CheckerKartenmarke, Bank und Land per BIN/IINÖffnen
- IP-RechnerSubnetz-Mathematik für IPv4- und IPv6-CIDRÖffnen
- Browser-Update-PrüferBrowser-Version, Update-Status und Client HintsÖffnen
- SPF-ValidatorSPF-TXT, Mechanisms und terminal all prüfenÖffnen
- DMARC-AnalyzerDMARC-Policy, Alignment und ReportsÖffnen
Verwandte Artikel
Praxisnahe Anleitungen für häufige CAA-Record-Checker-Aufgaben — DNS-Einträge, Troubleshooting-Schritte und Links zu unseren kostenlosen Tools.
caa record basics, caa record checker, caa dns
CAA-Grundlagen am Domain-Apex
CAA-Grundlagen am Domain-Apex. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →issue tag authorized cas, caa record checker, caa dns
issue-Tag und autorisierte Zertifizierungsstellen
issue-Tag und autorisierte Zertifizierungsstellen. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →issuewild wildcard certificates, caa record checker, caa dns
issuewild und Wildcard-TLS-Zertifikate
issuewild und Wildcard-TLS-Zertifikate. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →iodef incident reporting, caa record checker, caa dns
iodef Incident Reporting bei Policy-Verstößen
iodef Incident Reporting bei Policy-Verstößen. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →caa before ssl renewal, caa record checker, caa dns
CAA-Checks vor SSL-Zertifikats-Renewal
CAA-Checks vor SSL-Zertifikats-Renewal. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →shareable caa record checker results, caa record checker, caa dns
Teilbare CAA-Record-Checker-Ergebnisseiten
Teilbare CAA-Record-Checker-Ergebnisseiten. CAA beschränkt, welche öffentlich vertrauenswürdigen CAs TLS-Zertifikate ausstellen dürfen, durch DNS-CAA am Apex. DN01 liefert geparste Tags, Warnungen, Empfehlungen und teilbare Ergebnis-URL nach DNS-Änderungen.
Artikel lesen →