Der CAA-Record (DNS)

Der CAA-Record (DNS)

Der CAA-Record (DNS) ist die neueste Erweiterung im DNS.
Bei „Certification Authority Authorization (CAA)“ handelt es sich um eine neue Möglichkeit im Zonefile (DNS) einer Domain zu definieren, welche Zertifizierungsstellen (CA) für die entsprechende Domain Zertifikate ausstellen darf.
Seit September 2017 ist es für Zertifizierungsstellen Pflicht, CAA-Einträge der zu validierenden Domains zu prüfen. Dies wurde mit deutlicher Mehrheit im CA/B-Forum beschlossen.
Bisher konnten durch eine „Man-in-the-middle“- Attacke und einem gültigen Zertifikat für die Domain, User im Glauben umgeleitet werden, eine SSL-Verbindungen zum gewünschten Ziel aufgebaut zu haben.
Dies wird nun erschwert, bzw. ganz unterbunden.

Das bei RIPE im RFC 6844 dokumentierte Verfahren wird auch als CA-Pinning, Certificate Pinning oder SSL-Pinning bezeichnet. Dabei wird das SSL-/TLS-Zertifikat nicht nur an einen festgelegten Host/Endpunkt, sondern auch an definierte Zertifizierungsstellen
gebunden.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 issue „comodoca.com“

Durch die hier gesetzte Hinterlegung wird beispielsweise „Comodo“ als ausschließliche Zertifizierungsstelle der Domain example.com autorisiert. Dies gilt auch für Subdomains.

Zudem kann in einem weiteren CAA-Record eine Report- E-Mailaddresse angelegt werden, die im Konfliktfall eine Information im iodef-Format erhält. Dies wird jedoch noch nicht von allen Zertifizierungsstellen unterstützt.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 iodef “mailto:caa@domainexperten.de”

Es gibt jedoch auch einen Haken an der Sache. Während die Zertifizierungsstellen verpflichtet wurden, CAA-Einträge zu prüfen, besteht umgekehrt keine Pflicht einen solchen auch in die DNS einzutragen. Wird kein CAA-Eintrag angelegt, kann das Zertifikat – wie bisher – von jeder Zertifizierungsstelle ausgestellt werden.

Daher empfehlen wir, CAA-Einträge für Hauptdomains zu hinterlegen.

Folgende Website kann Sie bei der Erstellung und Überprüfung der Einträge unterstützen:

https://sslmate.com/caa/

Unser DNS-System nimmt die Einrichtung der CAA-Einträge derzeit über den Custom-Record an. Die Implementierung als Auswahl im Pull-Down-Menü folgt.

Schreibe einen Kommentar