Ein DNS-Eintrag, der der Welt mitteilt, welche Zertifizierungsstellen (CAs) TLS-Zertifikate für deine Domain ausstellen dürfen. CAA = Certification Authority Authorization.
Warum das wichtig ist: Wenn du keinen CAA-Eintrag setzt, kann jede CA ein Zertifikat auf deinen Namen ausstellen. Das ist ein Problem. Eine rogue CA, eine kompromittierte CA oder eine CA mit laxer Überprüfung können Zertifikate für deine Infrastruktur ausstellen und den Datenverkehr abfangen. CAA-Einträge sind deine Türsteher.
Beispiel CAA-Eintrag: ``` example.com. IN CAA 0 issue „letsencrypt.org" ```
Das bedeutet: nur Let's Encrypt darf Zertifikate für example.com ausstellen. Die meisten Registries unterstützen jetzt CAA; ICANN schreibt seit 2017 vor, dass CAs CAA-Vorlieben beachten, wobei die Durchsetzung ungleichmäßig ist.
Bunkerdomains-Domains unterstützen vollständige CAA-Kontrolle über die Zone File oder den DNS-Editor deines Registrars. Wenn du eine datenschutzgerichtete oder sensible Operation betreibst, richte CAA früh ein. Warte nicht, bis du kompromittiert wirst.