Was ist ein CAA-Record und warum ist er so wichtig
Der CAA-Record ist die neueste Version vorheriger DNS-Records, darunter CNAME, MX und A. Die Abkürzung “CAA” steht für Certificate Authority Authorization.
Mit dem CAA-Record lässt sich sicherstellen, dass nur bestimmte Certificate Authorities gültige Zertifikate ausstellen dürfen. Sie als Domaininhaber entscheiden dabei, welche CA ein solches Zertifikat für Ihre Domain ausstellen darf. Es bedarf also einer expliziten Freigabe für die Zertifikate, welche vor einer Ausstellung erfolgen muss. CAA-Records sind als Beitrag zur Sicherheit anzusehen, die Domain-Inhabern Autorität über die Handhabung der Zertifikate verleihen. Vor dieser Regelung war wie Ausstellung von Domain-Zertifikaten weniger reglementiert und vergleichsweise freizügig.
Lange war es ausreichend, wenn die Domain auf eine korrekte E-Mail-Adresse verwies. Diese einfache Form der Reglementierung wies allerdings Sicherheitslücken auf: Hacker konnten durch Man-in-the middle-Attacken und einem gültigen Zertifikat User umleiten und diese blieben im Glauben, einer sicheren [URL=https://www.internetx.com/ssl-zertifikate/SSL-Verbindung[/URL] zu folgen. Mit dem CAA-Record sollen solche Angriffe unterbunden oder zumindest deutlich erschwert werden.
Aufbau und Komponenten eines CAA-Records
CAA-Records folgen einer bestimmten Struktur: Im Domain Name System sind CAA-Records als [URL=https://tools.ietf.org/html/rfc6844]Resource Records (RR)[/URL] hinterlegt und entsprechen dem Typ 257. Es ist auch möglich, dass mehrere CAA-Records pro Domain aufgeführt werden. CAA-Records verfügen über eine Eigenschaft und ein Flag. Über die Eigenschaft ist es möglich, unterschiedliche Typen eines CAA-Records auszuwählen, das Flag ist ausschlaggebend dafür, wie der Record zu interpretieren ist.
Von besonderer Bedeutung ist der Flag-Typ “issuer critical flag”: Sobald dieses Flag gesetzt wird, können Zertifizierungsstellen kein Zertifikat für die entsprechende Domain ausstellen, wenn sie die CAA-Record-Eintragungen nicht auswerten können.
Außer dem Flag sind die Eigenschaften "issue", "issuewild" und "iodef" genau festgelegt:
- issue
Die Eigenschaft “issue” ermöglicht es einer im Feld “value” genau definierten Zertifizierungsstelle, für die betreffende Domain ein Zertifikat auszustellen.
- issuewild
Die Eigenschaft “issuewild” erfüllt einen ähnlichen Zweck wie issue, bezieht sich jedoch dezidiert nur auf Wildcard-Zertifikate. Wenn Sie die Eintragung “issuewild” verwenden, werden sämtliche Eintragungen unter "issue" ignoriert.
- iodef
Mit der Eigenschaft "iodef" können Sie als Domaininhaber optional Kontaktdaten für Zertifizierungsstellen anbieten. Hierbei ist jedoch zu berücksichtigen, dass nicht alle Zertifizierungsstellen diese Eigenschaft unterstützen.
Zertifizierungsstellen sind zur Prüfung des CAA-Records verpflichtet
Zwar existierte der CAA-Record bereits früher, doch hatte er keinen obligatorischen Charakter und deshalb war die Bedeutung eingeschränkt. Nutzer hatten keinen Anhaltspunkt dafür, welche Zertifizierungsstellen sich an die freiwillige Regelung hielten. Insbesondere kleinere CAs konnten den CAA-Record ignorieren – für Domain-Inhaber ein Sicherheitsrisiko.
In der Vergangenheit war die Option, CAAs zu implementieren, freiwillig. Auch Certification Authorities konnten freiwillig darüber entscheiden, ob sie einen Record überprüfen wollen oder nicht. Die Entscheidung zur verpflichtenden Prüfung traf das CA/Browser Forum im Jahr 2017. Das freiwillige Konsortium aus CAs und Anbietern legte im März 2017 fest, dass Zertifizierungsstellen ab dem 9. September 2017 entsprechende Records überprüfen müssen. Die Mitglieder des CA/B-Forums verpflichten sich in einer Urkunde namens [URL=https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/]Ballot 187[/URL] zur Einhaltung. Der Record hat aufgrund dieser Verpflichtung an Relevanz gewonnen und findet deshalb bei immer mehr Providern Unterstützung.
CAA-Records können im neuen AutoDNS ganz bequem in den DNS-Einstellungen angelegt werden
Im neuen AutoDNS können Sie Ihre CAA-Records ganz bequem anlegen. Sehen Sie sich hier die einzelnen Schritte an:
<iframe allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/GrXNeJkF__E" width="560"></iframe>
Jetzt CAA-Records für Ihre Domains anlegen