Was bedeutet das issue-Tag?

Das issue-Tag autorisiert eine Zertifizierungsstelle, Standard-Zertifikate (nicht-Wildcard) für die Domain auszustellen. Beispiel: issue "letsencrypt.org".

Was ist der Unterschied zwischen issue und issuewild?

issue autorisiert Standard-Zertifikate, issuewild autorisiert Wildcard-Zertifikate (*.domain.com). Sie können verschiedene CAs für jeden Typ autorisieren.

Wofür ist das iodef-Tag?

iodef gibt an, wohin Berichte über nicht autorisierte Ausstellungsversuche gesendet werden sollen. Format: iodef "mailto:security@domain.com" oder eine HTTPS-URL.

Wie verbiete ich jede Zertifikatsausstellung?

Veröffentlichen Sie einen CAA-Record mit issue ";" (nur Semikolon). Dies verbietet allen CAs, Zertifikate auszustellen.

Vererbt sich CAA auf Subdomains?

Ja, ohne spezifisches CAA auf einer Subdomain gilt die Apex-Regel. Sie können bei Bedarf Ausnahmen pro Subdomain definieren.

CAA-Record-Abfrage (Certificate Authority Authorization)

Kontrollieren Sie, welche Stellen SSL/TLS-Zertifikate ausstellen können

Sichern Sie Ihre SSL/TLS-Zertifikate, indem Sie überprüfen, dass nur autorisierte Stellen sie für Ihre Domain ausstellen können.

Host

Typ

Resolver

Iterativer Trace

Im iterativen Tracemodus wird der Resolver ignoriert.

Propagationstest

Fragt mehrere öffentliche Resolver ab, um die Antworten zu vergleichen.

Zertifizierungsrichtlinie

Entdecken Sie, welche Zertifizierungsstellen (Let's Encrypt, DigiCert, etc.) berechtigt sind, Zertifikate für die Domain auszustellen.

Multi-Resolver

Vergleichen Sie Antworten von Google, Cloudflare und Quad9, um Propagierungsprobleme zu erkennen.

Issue- und Issuewild-Tags

Analysieren Sie Berechtigungen für Standard- und Wildcard-Zertifikate separat.

Iodef-Benachrichtigungen

Überprüfen Sie, ob eine Benachrichtigungsadresse für nicht autorisierte Ausstellungsversuche konfiguriert ist.

Kostenlos und unbegrenzt

Testen Sie so viele Domains wie nötig. Keine Anmeldung erforderlich.

Wie Sie die Optionen der DNS-Suchmaschine effektiv nutzen

Was ist der iterative Trace?

Der Trace führt die Auflösung Schritt für Schritt aus. Der Resolver fragt zuerst die Root-Server ab, dann die des TLD (.com, .fr, .eu) und anschließend die autoritativen Server der Zielzone. In jedem Schritt zeigt die Seite den abgefragten Server, die Antwort, den RCODE und die Latenz an.

1. Root
Ermittlung der TLD-Server für den angefragten Namen.
2. TLD
Verweis auf die NS der Zone (Delegation).
3. Autoritative Server
Endgültige Antwort (oder Fehler) mit TTL und Latenz.

Wozu dient das?

Antworten nach Resolvern und Regionen vergleichen
Einen warmen Cache, einen zu langen TTL oder eine unvollständige Delegation erkennen
Einen Latenzunterschied oder einen unerwarteten RCODE erklären

Tipp: Lassen Sie den Trace für schnelle Checks deaktiviert; aktivieren Sie ihn, wenn Sie untersuchen oder ein Ticket/Post‑Mortem vorbereiten.

Was ist der klassische Trace?

Der klassische Trace befragt nur den ausgewählten Resolver (UDP oder DoH) und zeigt die Antwort so, wie sie von diesem Netzpunkt wahrgenommen wird. Sie erhalten den RCODE, die Antwortsektionen sowie die Latenz auf dem Abschnitt Client → Resolver.

1. Gewählter Resolver
Verwendet das Preset oder die individuelle Konfiguration, um die Anfrage genau wie Ihr Dienst auszuführen.
2. Protokoll beibehalten
Respektiert das ausgewählte Transportprotokoll (UDP, TCP oder DoH), um das reale Verhalten nachzustellen.
3. Detaillierte Antwort
Zeigt die Bereiche Question, Answer und Authority/Additional, sofern vorhanden, mitsamt TTL und hilfreichen Metadaten.

Warum nutzen?

Die Sicht eines bestimmten Resolvers prüfen, bevor Sie die Delegation verdächtigen
Zwischengespeicherte Werte und die Wirkung eines TTL oder Flushs bestätigen
Eine Auflösung dokumentieren, wie sie ein Client oder Microservice erlebt

Tipp: Lassen Sie die Option für den iterativen Trace deaktiviert, wenn Sie einen bestimmten Resolver auditieren; aktivieren Sie sie anschließend, um den Pfad Root → TLD → Autoritativ zu vergleichen.

Wie funktioniert der Propagationstest?

Der Test befragt parallel eine Reihe öffentlicher Resolver (Google, Cloudflare, Quad9, OpenDNS, ISPs …) und gruppiert die Antworten nach Inhalt und RCODE. Sie sehen sofort, wer die Aktualisierung bereits übernommen hat.

1. Multipoint-Resolver
Aktiviert die Propagations-Presets, um mehrere Akteure weltweit abzufragen.
2. Automatischer Vergleich
Gruppiert identische Antworten und hebt Abweichungen oder resolver-spezifische Fehler hervor.
3. Verwertbare Zusammenfassung
Liefert eine klare Übersicht, die Resolverliste, deren Latenzen und den Status jeder Gruppe.

Wann einsetzen?

Verfolgen, wie sich eine DNS-Änderung weltweit verbreitet
Veraltete Caches erkennen und über einen gezielten Flush entscheiden
Einen Propagationsstatus in einem Ticket oder Post-Mortem teilen

Tipp: Während des Propagationstests ist die Resolverauswahl gesperrt. Deaktivieren Sie den Modus, um zur Einzelanalyse zurückzukehren.

Was ist ein CAA-Record?

Ein CAA-Record (Certificate Authority Authorization) definiert, welche Zertifizierungsstellen (CAs) berechtigt sind, SSL/TLS-Zertifikate für eine Domain auszustellen. Es ist eine Sicherheitsmaßnahme, die nicht autorisierte Zertifikatsausstellung verhindert.

CAA-Record-Struktur:

Feld	Beschreibung	Beispiel
Flag	0 (Standard) oder 128 (kritisch)	`0`
Tag	Autorisierungstyp	`issue`, `issuewild`, `iodef`
Wert	Autorisierte CA oder Kontaktadresse	`"letsencrypt.org"`
TTL	Cache-Dauer in Sekunden	`3600`

Verfügbare CAA-Tags

issue - Standard-Zertifikate

Autorisieren Sie eine CA für Nicht-Wildcard-Zertifikate:

captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issue "digicert.com"

issuewild - Wildcard-Zertifikate

Autorisieren Sie eine CA für Wildcard-Zertifikate (*.domain):

captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

iodef - Benachrichtigungen

Adresse zum Empfang von Berichten über nicht autorisierte Versuche:

captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Jede Ausstellung verbieten

Alle CAs blockieren:

captaindns.com.  3600  IN  CAA  0 issue ";"

Wichtige Regeln

Vererbung und Subdomains

Situation	Verhalten
CAA am Apex	Gilt für alle Subdomains
CAA auf Subdomain	Überschreibt Apex-Regel für diese Subdomain
Kein CAA	Keine Einschränkung, jede CA kann ausstellen

Best Practices

Praxis	Warum
CAs begrenzen	Angriffsfläche reduzieren
iodef konfigurieren	Über Versuche benachrichtigt werden
Vor Produktion testen	Sperrungen vermeiden

Häufige Probleme

Zertifikat von CA abgelehnt

CA verweigert Ausstellung, weil sie nicht im CAA ist.

Überprüfen Sie CAA-Records der Domain
Fügen Sie die CA hinzu, wenn legitim
Warten Sie auf Propagierung

Wildcard blockiert

Wildcard-Zertifikat trotz issue-Tag abgelehnt.

issuewild ist für Wildcards erforderlich
Fügen Sie einen issuewild-Record hinzu
issue allein deckt *.domain nicht ab

Subdomain nicht abgedeckt

Eine Subdomain hat andere Regeln.

Überprüfen Sie subdomain-spezifisches CAA
Vererbung kann überschrieben werden
Fügen Sie CAA auf Subdomain-Ebene hinzu, wenn nötig

Befehlszeilenüberprüfung

Linux/Mac

dig CAA captaindns.com

Subdomain überprüfen:

dig CAA www.captaindns.com

Windows

nslookup -type=caa captaindns.com

Empfohlene Konfiguration

Vollständiges Beispiel

; Let's Encrypt für alle Zertifikate autorisieren
captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

; Sicherheitsbenachrichtigungen
captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Ergänzende Tools

Tool	Zweck
TXT-Record-Abfrage	Andere Sicherheitsrichtlinien prüfen
DNS-Propagierungsprüfung	Weltweite Propagierung prüfen