Was ist ein CAA-Record? | Infos & Tipps
Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Seit September 2017 sind Aussteller von TLS/SSL-Zertifikaten dazu verpflichtet, CAA-Einträge der zu validierenden Domains zu prüfen.
Published by
Simone Catania
Date
Was ist ein CAA-Record?
Der CAA-Record ist die neueste Version vorheriger DNS-Records, darunter CNAME, MX und A. Die Abkürzung “CAA” steht für Certificate Authority Authorization.
Als DNS-Eintrag dient er dazu, die Zertifizierungsstellen (CAs) zu autorisieren, die berechtigt sind, Zertifikate für eine bestimmte Domain auszustellen. CAA-Records spielen eine wichtige Rolle in der Sicherheit des Internets und sind besonders relevant für Website-Betreiber, die TLS/SSL-Zertifikate nutzen.
CAA-Records sind als Beitrag zur Sicherheit anzusehen, die Domain-Inhabern Autorität über die Handhabung der Zertifikate verleihen. Vor dieser Regelung war die Ausstellung von Domain-Zertifikaten weniger reglementiert und vergleichsweise freizügig.
Lange war es ausreichend, wenn die Domain auf eine korrekte E-Mail-Adresse verwies. Diese einfache Form der Reglementierung wies allerdings Sicherheitslücken auf: Hacker konnten durch Man-in-the middle-Attacken und mit einem gültigen Zertifikat User umleiten und diese so im Glauben lassen, einer sicheren
[URL=SSL-Verbindung[/URL]
zu folgen. Mit dem CAA-Record sollen solche Angriffe unterbunden oder zumindest deutlich erschwert werden.
Aufbau und Komponenten eines CAA-Records
CAA-Records folgen einer bestimmten Struktur: Im Domain Name System sind CAA-Records als
[URL=https://tools.ietf.org/html/rfc6844]Resource Records (RR)[/URL]
hinterlegt und entsprechen dem Typ 257. Es ist auch möglich, dass mehrere CAA-Records pro Domain aufgeführt werden. CAA-Records verfügen über eine Eigenschaft und ein Flag. Über die Eigenschaft ist es möglich, unterschiedliche Typen eines CAA-Records auszuwählen, das Flag ist ausschlaggebend dafür, wie der Record zu interpretieren ist.
Von besonderer Bedeutung ist der Flag-Typ “issuer critical flag”: Sobald dieses Flag gesetzt wird, können Zertifizierungsstellen kein Zertifikat für die entsprechende Domain ausstellen, wenn sie die CAA-Record-Eintragungen nicht auswerten können.
Außer dem Flag sind die Eigenschaften „issue„, „issuewild“ und „iodef“ genau festgelegt:
issue
Die Eigenschaft “issue” ermöglicht es einer im Feld “value” genau definierten Zertifizierungsstelle, für die betreffende Domain ein Zertifikat auszustellen.issuewild
Die Eigenschaft “issuewild” erfüllt einen ähnlichen Zweck wie „issue“, bezieht sich jedoch dezidiert nur auf Wildcard-Zertifikate. Wenn Sie die Eintragung “issuewild” verwenden, werden sämtliche Eintragungen unter „issue“ ignoriert.iodef
Mit der Eigenschaft „iodef“ kannst man optional Kontaktdaten für Zertifizierungsstellen anbieten. Hierbei ist jedoch zu berücksichtigen, dass nicht alle Zertifizierungsstellen diese Eigenschaft unterstützen.
Zertifizierungsstellen sind zur Prüfung des CAA-Records verpflichtet
Zwar existierte der CAA-Record bereits früher, doch hatte er keinen obligatorischen Charakter und deshalb war die Bedeutung eingeschränkt. User hatten keinen Anhaltspunkt dafür, welche Zertifizierungsstellen sich an die freiwillige Regelung hielten. Insbesondere kleinere CAs konnten den CAA-Record ignorieren – für Domain-Owner ein Sicherheitsrisiko.
In der Vergangenheit war die Option, CAAs zu implementieren, freiwillig. Auch Certification Authorities konnten freiwillig darüber entscheiden, ob sie einen Record überprüfen wollen oder nicht. Die Entscheidung zur verpflichtenden Prüfung traf das CA/Browser Forum im Jahr 2017. Das freiwillige Konsortium aus CAs und Anbietern legte im März 2017 fest, dass Zertifizierungsstellen ab dem 9. September 2017 entsprechende Records überprüfen müssen.
Die Mitglieder des CA/B-Forums verpflichten sich in einer Urkunde namens
[URL=https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/]Ballot 187[/URL]
zur Einhaltung. Der Record hat aufgrund dieser Verpflichtung an Relevanz gewonnen und findet deshalb bei immer mehr Providern Unterstützung.
In AutoDNS lassen sich CAA-Records ganz bequem anlegen.