Unsere Website nutzt Cookies

Unsere Website verwendet First- & Third-Party-Cookies, um Ihr Nutzererlebnis zu optimieren, Werbung zu personalisieren sowie die Website-Performance zu analysieren. Mit einem Klick auf "Zustimmen" akzeptieren Sie die Verarbeitung und Weitergabe Ihrer Daten an Drittanbieter. Sie können die Verwendung von Third-Party-Cookies ablehnen. Unser Impressum und eine Übersicht aller verwendeten Cookies finden Sie in unserer Datenschutzerklärung. Dort ist beschrieben, wie Sie Third-Party-Cookies jederzeit (auch nachträglich) ablehnen können.

Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Was ist ein CAA-Record und warum ist er so wichtig

Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Seit September 2017 sind Aussteller von SSL-Zertifikaten dazu verpflichtet, CAA-Einträge der zu validierenden Domains zu prüfen.


Der CAA-Record ist die neueste Version vorheriger DNS-Records, darunter CNAME, MX und A. Die Abkürzung “CAA” steht für Certificate Authority Authorization.

Mit dem CAA-Record lässt sich sicherstellen, dass nur bestimmte Certificate Authorities gültige Zertifikate ausstellen dürfen. Du als Domaininhaber entscheidest dabei, welche CA ein solches Zertifikat für deine Domain ausstellen darf. Es bedarf also einer expliziten Freigabe für die Zertifikate, welche vor einer Ausstellung erfolgen muss. CAA-Records sind als Beitrag zur Sicherheit anzusehen, die Domain-Inhabern Autorität über die Handhabung der Zertifikate verleihen. Vor dieser Regelung war die Ausstellung von Domain-Zertifikaten weniger reglementiert und vergleichsweise freizügig.

Lange war es ausreichend, wenn die Domain auf eine korrekte E-Mail-Adresse verwies. Diese einfache Form der Reglementierung wies allerdings Sicherheitslücken auf: Hacker konnten durch Man-in-the middle-Attacken und mit einem gültigen Zertifikat User umleiten und diese so im Glauben lassen, einer sicheren [URL=https://www.internetx.com/ssl-zertifikate/SSL-Verbindung[/URL] zu folgen. Mit dem CAA-Record sollen solche Angriffe unterbunden oder zumindest deutlich erschwert werden.

Aufbau und Komponenten eines CAA-Records

CAA-Records folgen einer bestimmten Struktur: Im Domain Name System sind CAA-Records als  [URL=https://tools.ietf.org/html/rfc6844]Resource Records (RR)[/URL] hinterlegt und entsprechen dem Typ 257. Es ist auch möglich, dass mehrere CAA-Records pro Domain aufgeführt werden. CAA-Records verfügen über eine Eigenschaft und ein Flag. Über die Eigenschaft ist es möglich, unterschiedliche Typen eines CAA-Records auszuwählen, das Flag ist ausschlaggebend dafür, wie der Record zu interpretieren ist.

Von besonderer Bedeutung ist der Flag-Typ “issuer critical flag”: Sobald dieses Flag gesetzt wird, können Zertifizierungsstellen kein Zertifikat für die entsprechende Domain ausstellen, wenn sie die CAA-Record-Eintragungen nicht auswerten können.
Außer dem Flag sind die Eigenschaften "issue", "issuewild" und "iodef" genau festgelegt:

  • issue
    Die Eigenschaft “issue” ermöglicht es einer im Feld “value” genau definierten Zertifizierungsstelle, für die betreffende Domain ein Zertifikat auszustellen.
     
  • issuewild
    Die Eigenschaft “issuewild” erfüllt einen ähnlichen Zweck wie "issue", bezieht sich jedoch dezidiert nur auf Wildcard-Zertifikate. Wenn du die Eintragung “issuewild” verwendest, werden sämtliche Eintragungen unter "issue" ignoriert.
     
  • iodef
    Mit der Eigenschaft "iodef" kannst du als Domain-Inhaber optional Kontaktdaten für Zertifizierungsstellen anbieten. Hierbei ist jedoch zu berücksichtigen, dass nicht alle Zertifizierungsstellen diese Eigenschaft unterstützen.

Zertifizierungsstellen sind zur Prüfung des CAA-Records verpflichtet

Zwar existierte der CAA-Record bereits früher, doch hatte er keinen obligatorischen Charakter und deshalb war die Bedeutung eingeschränkt. Nutzer hatten keinen Anhaltspunkt dafür, welche Zertifizierungsstellen sich an die freiwillige Regelung hielten. Insbesondere kleinere CAs konnten den CAA-Record ignorieren – für Domain-Inhaber ein Sicherheitsrisiko.

In der Vergangenheit war die Option, CAAs zu implementieren, freiwillig. Auch Certification Authorities konnten freiwillig darüber entscheiden, ob sie einen Record überprüfen wollen oder nicht. Die Entscheidung zur verpflichtenden Prüfung traf das CA/Browser Forum im Jahr 2017. Das freiwillige Konsortium aus CAs und Anbietern legte im März 2017 fest, dass Zertifizierungsstellen ab dem 9. September 2017 entsprechende Records überprüfen müssen. Die Mitglieder des CA/B-Forums verpflichten sich in einer Urkunde namens [URL=https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/]Ballot 187[/URL] zur Einhaltung. Der Record hat aufgrund dieser Verpflichtung an Relevanz gewonnen und findet deshalb bei immer mehr Providern Unterstützung.

CAA-Records können im neuen AutoDNS ganz bequem in den DNS-Einstellungen angelegt werden

Im neuen AutoDNS kannst du deine CAA-Records ganz bequem anlegen. Sehe dir hier die einzelnen Schritte an:

CAA Record hinterlegen | AutoDNS Quick Guide

Video abspielen?Wenn Sie das von uns eingebettete Videos abspielen wollen, müssen Sie unserer Cookie-Policy zustimmen, da hierbei systembedingt Third-Party-Cookies gesetzt und so Daten an den Betreiber des Videoportals gesendet werden. Hinweise und die Möglichkeit, die Zustimmung zu widerrufen, finden Sie hier.

 

Jetzt CAA-Records für deine Domains anlegen 

In AutoDNS einloggen


InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Die Domain-Endung .co feiert 10-jähriges Jubiläum. Nicht nur die in dieser Zeit registrierten Domains unter .co bestätigen den Erfolg der TLD.

Wenn es um SEO geht, heißt es schon lange: Content ist King, Seeding ist Queen. Content darf nicht beliebig und Qualität muss gewährleistet sein....

Managed Cloud Services ermöglichen es Unternehmen, die Leistungsfähigkeit von Cloud-Diensten nutzen zu können, ohne selbst über Cloud-Experten...

Nahezu jedes Unternehmen ist mittlerweile auch in den sozialen Medien vertreten. Doch das heißt nicht, dass die klassische Unternehmenswebsite...