DSGVO und die Auswirkungen auf Zertifikatsanträge

  

SSL-Zertifikate sind ein Muss. Bieten Sie doch einen Basisschutz durch verschlüsselte Übertragungen von Daten.

Die Richtlinien unserer Datenschutzverordnung (DSGVO) lösen derzeit geradezu eine Welle an Zertifikatsanträgen aus. Umso kurioser, dass genau diese Verordnung bei der Beantragung eines Zertifikates das größte Hindernis darstellt.

Wir berichteten in der Ausgabe #005 von .BRANDAKTUELL, unserem Newsletter, dass die DSVGO eine massive Dateneinschränkung bezogen auf das Whois bewirkt. Zwischenzeitlich haben alle Registries und deren Registrare dem Rechnung getragen und sämtliche, im Whois eingetragenen Daten nach außen gekappt.

Somit ist auch die, meist individuelle, E-Mailadresse eines technischen Ansprechpartners (Tech-C) nicht mehr sichtbar und erhält daher nicht die, zur Validierung herangezogene, Bestätigungs-Mail der Zertifikatsanfrage. Generell bieten alle Zertifizierungsstellen 5 Standardadressen für die Validierung an:

  • postmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • hostmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • webmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • administrator@der-Domain-auf-der-das-Zertifikat-basiert und
  • admin@der-Domain-auf-der-das-Zertifikat-basiert

Beispiel: Für den Zertifikatsantrag von support.domainexperten.de darf, man die postmaster@domainexperten.de als Validierungsadresse wählen.

In vielen Fällen jedoch existieren diese Adressen nicht oder sind zwar existent, laufen jedoch ins „Nirwana“. Die Erfahrung zeigt, dass in vielen Firmen, sich die nachträgliche Beantragung solcher Adressen äußerst schwierig gestaltet.

Der Prozess, der sogenannten Hash-Validierung ist eine weitere Alternative, die wir Kunden anbieten können. Hier wird der Zertifikatsrequest (CSR) als Hash generiert. Anschließend wird dieser String als CNAME in die DNS der Domain eingebunden und ist somit vom Zertifizierer überprüfbar.

Wir arbeiten derzeit an einer Lösung des Problems bzw. weiteren Alternativen in Zusammenarbeit mit Comodo, dem derzeit größten Zertifizierer, sowie dem CA/B-Forum, dem Gremium, das die Regeln für die Ausstellung eines Zertifikats festlegt. Allerdings wird dies noch einige Zeit in Anspruch nehmen.

Solange unser Rat für Sie: Lassen Sie sich eine Liste mit den derzeitigen Zertifikaten und deren Ablaufdaten von Ihrem Provider übermitteln und sorgen Sie schnellstmöglich für die Generierung einer der o. g. Adressen.

Das Team der DOMAINEXPERTEN setzt sich gerne mit Ihren weiteren Fragen auseinander. Nehmen Sie  Kontakt mit uns auf!

 

 

 

 

 

 

 

 

 

 

 

Der CAA-Record (DNS)

Der CAA-Record (DNS) ist die neueste Erweiterung im DNS.
Bei „Certification Authority Authorization (CAA)“ handelt es sich um eine neue Möglichkeit im Zonefile (DNS) einer Domain zu definieren, welche Zertifizierungsstellen (CA) für die entsprechende Domain Zertifikate ausstellen darf.
Seit September 2017 ist es für Zertifizierungsstellen Pflicht, CAA-Einträge der zu validierenden Domains zu prüfen. Dies wurde mit deutlicher Mehrheit im CA/B-Forum beschlossen.
Bisher konnten durch eine „Man-in-the-middle“- Attacke und einem gültigen Zertifikat für die Domain, User im Glauben umgeleitet werden, eine SSL-Verbindungen zum gewünschten Ziel aufgebaut zu haben.
Dies wird nun erschwert, bzw. ganz unterbunden.

Das bei RIPE im RFC 6844 dokumentierte Verfahren wird auch als CA-Pinning, Certificate Pinning oder SSL-Pinning bezeichnet. Dabei wird das SSL-/TLS-Zertifikat nicht nur an einen festgelegten Host/Endpunkt, sondern auch an definierte Zertifizierungsstellen
gebunden.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 issue „comodoca.com“

Durch die hier gesetzte Hinterlegung wird beispielsweise „Comodo“ als ausschließliche Zertifizierungsstelle der Domain example.com autorisiert. Dies gilt auch für Subdomains.

Zudem kann in einem weiteren CAA-Record eine Report- E-Mailaddresse angelegt werden, die im Konfliktfall eine Information im iodef-Format erhält. Dies wird jedoch noch nicht von allen Zertifizierungsstellen unterstützt.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 iodef “mailto:caa@domainexperten.de”

Es gibt jedoch auch einen Haken an der Sache. Während die Zertifizierungsstellen verpflichtet wurden, CAA-Einträge zu prüfen, besteht umgekehrt keine Pflicht einen solchen auch in die DNS einzutragen. Wird kein CAA-Eintrag angelegt, kann das Zertifikat – wie bisher – von jeder Zertifizierungsstelle ausgestellt werden.

Daher empfehlen wir, CAA-Einträge für Hauptdomains zu hinterlegen.

Folgende Website kann Sie bei der Erstellung und Überprüfung der Einträge unterstützen:

https://sslmate.com/caa/

Unser DNS-System nimmt die Einrichtung der CAA-Einträge derzeit über den Custom-Record an. Die Implementierung als Auswahl im Pull-Down-Menü folgt.