DNS Certification Authority Authorization

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

DNS Certification Authority Authorization (CAA) verwendet das Domain Name System, um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden.

DNS Certification Authority Authorization ist im Internetstandard RFC 6844[1] von 2013 definiert.

Struktur eines CAA Records[Bearbeiten | Quelltext bearbeiten]

Jeder CAA Record hat ein Flag und eine Eigenschaft und ist im DNS als ein Resource Record (RR) vom Typ 257 ausgeführt, wobei mehrfache CAA Records pro Domain vorkommen dürfen. Das Flag beeinflusst die Interpretation des Records. Die Eigenschaft erlaubt die Auswahl verschiedener Typen eines CAA Records.[2]

Mit Stand Anfang 2019 ist lediglich ein einziges Bit definiert: das englisch issuer critical flag. Wenn dieses Flag gesetzt wird, das Bit hat eine Stellenwertigkeit 128, bedeutet dies, dass CAs welche die Eintragungen im CAA Record nicht auswerten können, kein Zertifikat für die Domain ausstellen dürfen.[3]

Neben dem Flag sind die folgenden drei Eigenschaften festgelegt:

issue
Diese Eigenschaft erlaubt einer CA, welche im value-Feld definiert wird, das Ausstellen eines Zertifikates für die betroffene Domain.
issuewild
Diese Eigenschaft funktioniert wie issue, jedoch für Wildcard-Zertifikate und nur für Wildcard-Zertifikate. Bei Verwendung von issuewild wird die Eintragung unter issue ignoriert.
iodef
Diese Eigenschaft erlaubt es dem Domaininhaber optional eine Kontaktmöglichkeit für die Zertifizierungsstelle zur Verfügung zu stellen. Nicht alle Zertifizierungsstellen unterstützen diese Eigenschaft.

Obligatorische Prüfung[Bearbeiten | Quelltext bearbeiten]

Ursprünglich war die Implementierung von CAA freiwillig. Zertifizierungsstellen konnten selber entscheiden, ob sie den Record überprüfen oder nicht. Im März 2017 entschied das CA/Browser Forum, dass CAs diesen Record prüfen müssen. Im September 2017 trat diese Regelung in Kraft.[4]

Durch das Obligatorium gewinnt dieser Record an Bedeutung und wird von immer mehr Nameserver-Providern unterstützt.[5]

Beispiele[Bearbeiten | Quelltext bearbeiten]

Ein CAA Record kann mit folgender DNS-Eintragung eine Zertifizierungsstelle mit der Domain "ca.example.net" erlauben für die Domain example.com einfache Zertifikate auszustellen. Alle anderen Zertifizierungsstellen dürfen dann für example.com keine einfachen Zertifikate austellen:

example.com. IN CAA 0 issue "ca.example.net"

Um für die Domain example.com die Ausstellung einfacher Zertifikate und Wildcard-Zertifikate zu verbieten, können folgende beide Eintragungen gesetzt werden:

example.com. IN CAA 0 issue ";"

example.com. IN CAA 0 issuewild ";"

Die Angabe der Kontaktmöglichkeit kann auf verschiedene Arten erfolgen, beispielsweise in Form einer Email-Adresse oder über einen web-basierenden Dienst:

example.com. IN CAA 0 iodef "mailto:security@example.com"

example.com. IN CAA 0 iodef "https://security.example.com/"

Referenzen[Bearbeiten | Quelltext bearbeiten]

  1. Hallam-Baker, Phillip, Stradling, Rob: DNS Certification Authority Authorization (CAA) Resource Record. Abgerufen am 10. Juli 2017 (englisch).
  2. What is a CAA record? – DNSimple Help. Abgerufen am 10. Juli 2017.
  3. RFC 6844 - Kapitel 3.: The CAA RR Type
  4. New Mandatory CAA Checking on the Horizon - Entrust, Inc. Abgerufen am 10. Juli 2017 (amerikanisches Englisch).
  5. CAA Records für mehr Sicherheit. In: hosttech. 28. Juni 2017 (hosttech.ch [abgerufen am 10. Juli 2017]).