Diese Website nutzt Cookies

Unsere Website verwendet First- & Third-Party-Cookies, um Ihr Nutzererlebnis zu optimieren, Werbung zu personalisieren sowie die Website-Performance zu analysieren. Mit einem Klick auf "Zustimmen" akzeptieren Sie die Verarbeitung und Weitergabe Ihrer Daten an Drittanbieter. Sie können die Verwendung von Third-Party-Cookies ablehnen. Eine Übersicht über alle verwendeten Cookies finden Sie in unserer Datenschutzerklärung. Dort ist beschrieben, wie Sie Third-Party-Cookies jederzeit (auch nachträglich) ablehnen können.

Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Was ist ein CAA-Record und warum ist er so wichtig

Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Seit September 2017 sind Aussteller von SSL-Zertifikaten dazu verpflichtet, CAA-Einträge der zu validierenden Domains zu prüfen.


Der CAA-Record ist die neueste Version vorheriger DNS-Records, darunter CNAME, MX und A. Die Abkürzung “CAA” steht für Certificate Authority Authorization.

Mit dem CAA-Record lässt sich sicherstellen, dass nur bestimmte Certificate Authorities gültige Zertifikate ausstellen dürfen. Sie als Domaininhaber entscheiden dabei, welche CA ein solches Zertifikat für Ihre Domain ausstellen darf. Es bedarf also einer expliziten Freigabe für die Zertifikate, welche vor einer Ausstellung erfolgen muss. CAA-Records sind als Beitrag zur Sicherheit anzusehen, die Domain-Inhabern Autorität über die Handhabung der Zertifikate verleihen. Vor dieser Regelung war wie Ausstellung von Domain-Zertifikaten weniger reglementiert und vergleichsweise freizügig.

Lange war es ausreichend, wenn die Domain auf eine korrekte E-Mail-Adresse verwies. Diese einfache Form der Reglementierung wies allerdings Sicherheitslücken auf: Hacker konnten durch Man-in-the middle-Attacken und einem gültigen Zertifikat User umleiten und diese blieben im Glauben, einer sicheren [URL=https://www.internetx.com/ssl-zertifikate/SSL-Verbindung[/URL] zu folgen. Mit dem CAA-Record sollen solche Angriffe unterbunden oder zumindest deutlich erschwert werden.

Aufbau und Komponenten eines CAA-Records

CAA-Records folgen einer bestimmten Struktur: Im Domain Name System sind CAA-Records als  [URL=https://tools.ietf.org/html/rfc6844]Resource Records (RR)[/URL] hinterlegt und entsprechen dem Typ 257. Es ist auch möglich, dass mehrere CAA-Records pro Domain aufgeführt werden. CAA-Records verfügen über eine Eigenschaft und ein Flag. Über die Eigenschaft ist es möglich, unterschiedliche Typen eines CAA-Records auszuwählen, das Flag ist ausschlaggebend dafür, wie der Record zu interpretieren ist.

Von besonderer Bedeutung ist der Flag-Typ “issuer critical flag”: Sobald dieses Flag gesetzt wird, können Zertifizierungsstellen kein Zertifikat für die entsprechende Domain ausstellen, wenn sie die CAA-Record-Eintragungen nicht auswerten können.
Außer dem Flag sind die Eigenschaften "issue", "issuewild" und "iodef" genau festgelegt:

  • issue
    Die Eigenschaft “issue” ermöglicht es einer im Feld “value” genau definierten Zertifizierungsstelle, für die betreffende Domain ein Zertifikat auszustellen.
     
  • issuewild
    Die Eigenschaft “issuewild” erfüllt einen ähnlichen Zweck wie issue, bezieht sich jedoch dezidiert nur auf Wildcard-Zertifikate. Wenn Sie die Eintragung “issuewild” verwenden, werden sämtliche Eintragungen unter "issue" ignoriert.
     
  • iodef
    Mit der Eigenschaft "iodef" können Sie als Domaininhaber optional Kontaktdaten für Zertifizierungsstellen anbieten. Hierbei ist jedoch zu berücksichtigen, dass nicht alle Zertifizierungsstellen diese Eigenschaft unterstützen.

Zertifizierungsstellen sind zur Prüfung des CAA-Records verpflichtet

Zwar existierte der CAA-Record bereits früher, doch hatte er keinen obligatorischen Charakter und deshalb war die Bedeutung eingeschränkt. Nutzer hatten keinen Anhaltspunkt dafür, welche Zertifizierungsstellen sich an die freiwillige Regelung hielten. Insbesondere kleinere CAs konnten den CAA-Record ignorieren – für Domain-Inhaber ein Sicherheitsrisiko.

In der Vergangenheit war die Option, CAAs zu implementieren, freiwillig. Auch Certification Authorities konnten freiwillig darüber entscheiden, ob sie einen Record überprüfen wollen oder nicht. Die Entscheidung zur verpflichtenden Prüfung traf das CA/Browser Forum im Jahr 2017. Das freiwillige Konsortium aus CAs und Anbietern legte im März 2017 fest, dass Zertifizierungsstellen ab dem 9. September 2017 entsprechende Records überprüfen müssen. Die Mitglieder des CA/B-Forums verpflichten sich in einer Urkunde namens [URL=https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/]Ballot 187[/URL] zur Einhaltung. Der Record hat aufgrund dieser Verpflichtung an Relevanz gewonnen und findet deshalb bei immer mehr Providern Unterstützung.

CAA-Records können im neuen AutoDNS ganz bequem in den DNS-Einstellungen angelegt werden

Im neuen AutoDNS können Sie Ihre CAA-Records ganz bequem anlegen. Sehen Sie sich hier die einzelnen Schritte an:

Jetzt CAA-Records für Ihre Domains anlegen 

In AutoDNS einloggen


InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Mit dem AuthInfo-Code ist ein Providerwechsel kein Problem. Wo Sie den AuthInfo-Code finden, warum Sie ihn für einen Umzug unbedingt benötigen und was...

Die Domain kann für den Erfolg Ihres Unternehmens entscheidend sein. Für die Erstellung der Online-Präsenz Ihres Unternehmens schlagen wir Ihnen acht...

Das Problem ist jedem bekannt, der sich mit dem Thema Suchmaschinenoptimierung oder Content auseinandersetzt: Existieren verschiedene Seiten mit...

Unternehmen erleben ständig Entwicklungen, welche die verschiedenen Abteilungen innerhalb ihrer Unternehmensstrukturen durchlaufen. Während viele...