Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Was ist ein CAA-Record und warum ist er so wichtig

Ein CAA-Record definiert, welche Zertifizierungsstellen (CA) Zertifikate für eine bestimmte Domain oder Subdomain ausstellen dürfen. Seit September 2017 sind Aussteller von SSL-Zertifikaten dazu verpflichtet, CAA-Einträge der zu validierenden Domains zu prüfen.

Der CAA-Record ist die neueste Version vorheriger DNS-Records, darunter CNAME, MX und A. Die Abkürzung “CAA” steht für Certificate Authority Authorization.

Mit dem CAA-Record lässt sich sicherstellen, dass nur bestimmte Certificate Authorities gültige Zertifikate ausstellen dürfen. Du als Domaininhaber entscheidest dabei, welche CA ein solches Zertifikat für deine Domain ausstellen darf. Es bedarf also einer expliziten Freigabe für die Zertifikate, welche vor einer Ausstellung erfolgen muss. CAA-Records sind als Beitrag zur Sicherheit anzusehen, die Domain-Inhabern Autorität über die Handhabung der Zertifikate verleihen. Vor dieser Regelung war die Ausstellung von Domain-Zertifikaten weniger reglementiert und vergleichsweise freizügig.

Lange war es ausreichend, wenn die Domain auf eine korrekte E-Mail-Adresse verwies. Diese einfache Form der Reglementierung wies allerdings Sicherheitslücken auf: Hacker konnten durch Man-in-the middle-Attacken und mit einem gültigen Zertifikat User umleiten und diese so im Glauben lassen, einer sicheren [URL=https://www.internetx.com/ssl-zertifikate/SSL-Verbindung[/URL] zu folgen. Mit dem CAA-Record sollen solche Angriffe unterbunden oder zumindest deutlich erschwert werden.

Aufbau und Komponenten eines CAA-Records

CAA-Records folgen einer bestimmten Struktur: Im Domain Name System sind CAA-Records als  [URL=https://tools.ietf.org/html/rfc6844]Resource Records (RR)[/URL] hinterlegt und entsprechen dem Typ 257. Es ist auch möglich, dass mehrere CAA-Records pro Domain aufgeführt werden. CAA-Records verfügen über eine Eigenschaft und ein Flag. Über die Eigenschaft ist es möglich, unterschiedliche Typen eines CAA-Records auszuwählen, das Flag ist ausschlaggebend dafür, wie der Record zu interpretieren ist.

Von besonderer Bedeutung ist der Flag-Typ “issuer critical flag”: Sobald dieses Flag gesetzt wird, können Zertifizierungsstellen kein Zertifikat für die entsprechende Domain ausstellen, wenn sie die CAA-Record-Eintragungen nicht auswerten können.
Außer dem Flag sind die Eigenschaften "issue", "issuewild" und "iodef" genau festgelegt:

  • issue
    Die Eigenschaft “issue” ermöglicht es einer im Feld “value” genau definierten Zertifizierungsstelle, für die betreffende Domain ein Zertifikat auszustellen.
     
  • issuewild
    Die Eigenschaft “issuewild” erfüllt einen ähnlichen Zweck wie "issue", bezieht sich jedoch dezidiert nur auf Wildcard-Zertifikate. Wenn du die Eintragung “issuewild” verwendest, werden sämtliche Eintragungen unter "issue" ignoriert.
     
  • iodef
    Mit der Eigenschaft "iodef" kannst du als Domain-Inhaber optional Kontaktdaten für Zertifizierungsstellen anbieten. Hierbei ist jedoch zu berücksichtigen, dass nicht alle Zertifizierungsstellen diese Eigenschaft unterstützen.

Zertifizierungsstellen sind zur Prüfung des CAA-Records verpflichtet

Zwar existierte der CAA-Record bereits früher, doch hatte er keinen obligatorischen Charakter und deshalb war die Bedeutung eingeschränkt. Nutzer hatten keinen Anhaltspunkt dafür, welche Zertifizierungsstellen sich an die freiwillige Regelung hielten. Insbesondere kleinere CAs konnten den CAA-Record ignorieren – für Domain-Inhaber ein Sicherheitsrisiko.

In der Vergangenheit war die Option, CAAs zu implementieren, freiwillig. Auch Certification Authorities konnten freiwillig darüber entscheiden, ob sie einen Record überprüfen wollen oder nicht. Die Entscheidung zur verpflichtenden Prüfung traf das CA/Browser Forum im Jahr 2017. Das freiwillige Konsortium aus CAs und Anbietern legte im März 2017 fest, dass Zertifizierungsstellen ab dem 9. September 2017 entsprechende Records überprüfen müssen. Die Mitglieder des CA/B-Forums verpflichten sich in einer Urkunde namens [URL=https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/]Ballot 187[/URL] zur Einhaltung. Der Record hat aufgrund dieser Verpflichtung an Relevanz gewonnen und findet deshalb bei immer mehr Providern Unterstützung.

CAA-Records können im neuen AutoDNS ganz bequem in den DNS-Einstellungen angelegt werden

Im neuen AutoDNS kannst du deine CAA-Records ganz bequem anlegen. Sehe dir hier die einzelnen Schritte an:

CAA Record hinterlegen | AutoDNS Quick Guide

Video abspielen?Wenn Sie das von uns eingebettete Videos abspielen wollen, müssen Sie unserer Cookie-Policy zustimmen, da hierbei systembedingt Third-Party-Cookies gesetzt und so Daten an den Betreiber des Videoportals gesendet werden. Hinweise und die Möglichkeit, die Zustimmung zu widerrufen, finden Sie hier.

 

Jetzt CAA-Records für deine Domains anlegen 

In AutoDNS einloggen

Zurück
Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Der Code Signing-Life-Cycle: Wie lange bleiben die…

Der Life-Cycle eines Code Signing-Zertifikats bezieht sich auf die Phasen seiner Lebensdauer – von der Beantragung bis zum Ablauf des Zertifikats.…

Snapshot #10 mit Thomas Rickert (eco)

Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
InterNetX blog cover Keith Mitchell from DNS-OARC

It’s all about domains… mit Keith Mitchell…

Das DNS ist ein kritisches System, das die Mitarbeit aller Beteiligten erfordert. Keith Mitchell, ein wahrer Internet-Experte, weiß das aus erster…
european e-commerce shops and their domains

Europäische Online-Shops und ihre Domains – eine…

Welche TLDs werden in Europa am häufigsten für den E-Commerce genutzt? Finden wir heraus, wie europäische Online-Shops Domains verwenden.

Autor