Zum Inhalt springen
D1
DE

Zertifikatssicherheit

CAA-Record-Checker

CAA-DNS-Einträge am Domain-Apex abfragen, issue-, issuewild- und iodef-Tags analysieren und Ausstellungswarnungen prüfen.

Dieses Formular ruft den relativen Endpunkt auf: /site-api/tools/caa

So nutzen Sie das Tool

  1. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
  2. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
  3. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
  4. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
  5. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.
  6. CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. CAs inventarisieren, issue für jede Autorität veröffentlichen, issuewild für Wildcards, optional iodef, dann vor CSR oder ACME-Order validieren. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Was das Ergebnis zeigt

Das Ergebnis trennt die Signale, die für diese Prüfung wichtig sind.

FeldZweckBeispiel
DomainCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Geben Sie den zu zertifizierenden Apex ein.
AbfragenameCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Bestätigen Sie CAA-Einträge vor der Bestellung.
FoundCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Prüfen Sie issue-Tags für Ihre CA.
ValidCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Vergleichen Sie issuewild getrennt von Apex-issue.
RecordsCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Fügen Sie iodef mailto oder HTTPS hinzu.
issueCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Nach TTL erneut prüfen bei CA-Migration.
issuewildCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Geben Sie den zu zertifizierenden Apex ein.
iodefCAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.Bestätigen Sie CAA-Einträge vor der Bestellung.

Wann diese Prüfung hilft

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Nutzen Sie den Checker bei CA-Migrationen, Wildcard-Planung, Security-Fragebögen und Pre-Renewal-Audits. CAA ersetzt keine SSL-Validierung — kombinieren Sie mit SSL Certificate Checker nach Ausstellung. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Was prüfen, wenn das Ergebnis falsch wirkt

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Ohne Einträge CAA am exakten FQDN abfragen — meist Apex. Leere Antwort erlaubt jeder public CA die Ausstellung. Nach Änderungen TTL abwarten und mit dig +short CAA example.com vergleichen. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

So interpretieren Sie das Ergebnis

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

CAA wird als DNS-CAA-Einträge am Domain-Apex veröffentlicht. Vor der Zertifikatsausstellung müssen öffentlich vertrauenswürdige CAs CAA prüfen und issue-, issuewild- und iodef-Tags beachten. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Empfohlener Ablauf

  1. Geben Sie den zu zertifizierenden Apex ein.
  2. Bestätigen Sie CAA-Einträge vor der Bestellung.
  3. Prüfen Sie issue-Tags für Ihre CA.
  4. Vergleichen Sie issuewild getrennt von Apex-issue.
  5. Fügen Sie iodef mailto oder HTTPS hinzu.
  6. Nach TTL erneut prüfen bei CA-Migration.

Tool statt manueller Prüfung

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „issue-Tag und autorisierte CAs“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „issuewild und Wildcard-TLS-Zertifikate“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „iodef-URLs für Incident Reporting“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „fehlendes CAA und permissive Ausstellung“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „CAA-Checks vor SSL-Renewal“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

dig CAA example.com zeigt Roh-RRs ohne issue/issuewild-Gruppierung. DNS Checker listet CAA ohne Issuance-Warnungen. DN01 nutzt denselben Go-Lookup wie die Produktions-API. Für „Critical-Flag-Semantik“ ist veröffentlichtes CAA der Issuance-Vertrag, den CAs bei der Bestellung prüfen. Dokumentieren Sie jeden Tag, bestätigen Sie Wildcard-Policy getrennt und prüfen Sie iodef vor Renewal. Nach DNS-Änderungen dieselbe Domain erneut prüfen.

Warum DN01

  • Live Apex-CAA-Lookup
  • Geparste issue-, issuewild- und iodef-Tags
  • Warnungen bei fehlendem CAA
  • Hinweise zu unbekannten Tags und Critical Flag
  • Kombiniert mit SSL- und DNS-Tools
  • Teilbare CAA-Ergebnis-URL

FAQ

CAA-Checker FAQ

DNS-CAA, issue- und issuewild-Tags, autorisierte CAs und iodef.

Was ist ein CAA-DNS-Eintrag?

CAA ist ein DNS-Typ, der autorisierte CAs für TLS-Zertifikate via issue, issuewild und iodef auflistet. CAA-Grundlagen-Leitfaden

Wo veröffentliche ich CAA?

CAA am Apex der zu zertifizierenden Domain veröffentlichen (example.com).

Unterschied issue vs issuewild?

issue regelt Standard-Zertifikate; issuewild Wildcards separat (RFC 8659).

Wie prüft DN01 CAA?

DN01 fragt live CAA am Apex ab, parst Tags und markiert fehlende oder unbekannte Policy.

Was passiert ohne CAA?

Ohne CAA darf jede public CA ausstellen — CAA vor Renewal veröffentlichen.

Warum CAA vor SSL-Renewal prüfen?

CA-Migrationen scheitern, wenn CAA den neuen Issuer blockiert — vor Bestellung validieren.

Tool-Wechsler

Nächsten Schritt im Domain- oder Sicherheits-Workflow wählen.

Vollständiger Tool-Katalog

Anleitungen

Praxisnahe Anleitungen für häufige CAA-Record-Checker-Aufgaben — DNS-Einträge, Troubleshooting-Schritte und Links zu unseren kostenlosen Tools.

Zurück zu CAA-Record-Checker