DNS Certification Authority Authorization

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

DNS Certification Authority Authorization (CAA) verwendet das Domain Name System um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden.

DNS Certification Authority Authorization ist im Internetstandard RFC 6844[1] von 2013 definiert.

Struktur eines CAA Records[Bearbeiten | Quelltext bearbeiten]

Jeder CAA Record hat ein Flag und eine Eigenschaft. Das Flag beeinflusst die Interpretation des Records. Die Eigenschaft erlaubt die Auswahl verschiedener Typen eines CAA Records.[2]

Aktuell ist lediglich ein Flag definiert: das issuer critical Flag. Wenn dieses Flag auf 1 gesetzt wird, bedeutet dies, dass CAs, welche den CAA Record nicht verstehen, kein Zertifikat für die Domain ausstellen dürfen. Dieses Flag dürfte mit dem Obligatorium der Prüfung ab September 2017 an Bedeutung verlieren.

Neben dem Flag sind die drei Eigenschaften:

issue
Diese Eigenschaft erlaubt einer CA, welche im value-Feld definiert wird, das Ausstellen eines Zertifikates für die betroffene Domain.
issuewild
Diese Eigenschaft funktioniert wie issue, jedoch für Wildcard-Zertifikate und nur für Wildcard-Zertifikate.
iodef
Diese Eigenschaft erlaubt es dem Domaininhaber eine Kontaktmöglichkeit für CAs zur Verfügung zu stellen. Diese werden verwendet, wenn ein Verstoß vorliegt. Nicht alle Zertifizierungsstellen unterstützen diese Eigenschaft.

Obligatorische Prüfung[Bearbeiten | Quelltext bearbeiten]

Ursprünglich war die Implementierung von CAA freiwillig. Zertifizierungsstellen konnten selber entscheiden, ob sie den Records überprüfen oder nicht. Im März 2017 entschied das CA/Browser Forum, dass CAs diesen Record prüfen müssen. Ab September 2017 tritt diese Regelung in Kraft.[3]

Durch das Obligatorium gewinnt dieser Record an Bedeutung und wird von immer mehr Nameserver-Providern unterstützt.[4]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Referenzen[Bearbeiten | Quelltext bearbeiten]

  1. Hallam-Baker, Phillip, Stradling, Rob: DNS Certification Authority Authorization (CAA) Resource Record. Abgerufen am 10. Juli 2017 (englisch).
  2. What is a CAA record? – DNSimple Help. Abgerufen am 10. Juli 2017.
  3. New Mandatory CAA Checking on the Horizon - Entrust, Inc. Abgerufen am 10. Juli 2017 (amerikanisches englisch).
  4. CAA Records für mehr Sicherheit. In: hosttech. 28. Juni 2017 (hosttech.ch [abgerufen am 10. Juli 2017]).