CAA Checker
CAA-Records einer Domain prüfen: erlaubte CAs, Wildcard-Policies, iodef-Adressen und Inheritance nach RFC 8659.
Methodik & Funktionsweise
Was wird geprueft?
Prüft die Certificate Authority Authorization (RFC 8659) einer Domain: welche CAs dürfen Zertifikate ausstellen?
Wie funktioniert es?
CAA-Lookup mit Inheritance: gibt es am angefragten Hostname keinen Record, wird der Parent gesucht (api.example.com → example.com → root). Parst issue, issuewild, iodef, contactemail, contactphone. Kritisch: unbekannte Tags mit critical-Flag (= CA muss ablehnen). Meldet: kein CAA (jede CA darf), niemand-Mode (keine CA darf), fehlendes iodef.
Beispiel-Ergebnis
google.com → issue "pki.goog" (nur Google Trust Services darf, 0 Issues)
Hinweise
CAA verhindert Mis-Issuance durch kompromittierte oder versehentlich verwendete CAs. Let's Encrypt prüft CAA vor jeder Ausstellung — falscher Record blockiert Renewal.