CAA-Eintrag
Der DNS-Ressourceneintrag für die Zertifizierungsstellenautorisierung (CAA) ermöglicht es einem DNS-Domänennameninhaber, die Zertifizierungsstellen (CAs) anzugeben, die berechtigt sind, Zertifikate für diese Domäne auszustellen. Die Veröffentlichung von CAA-Ressourcendatensätzen ermöglicht es einer öffentlichen Zertifizierungsstelle, zusätzliche Kontrollen zu implementieren, um das Risiko einer unbeabsichtigten Falschausstellung von Zertifikaten zu verringern.
Mit Record können Sie auch Benachrichtigungsregeln festlegen, wenn jemand ein Zertifikat von einer nicht autorisierten Zertifizierungsstelle anfordert. Das Platzieren eines CAA-Eintrags in einer DNS-Domain ist eine weitere Möglichkeit, die Internetsicherheit zu verbessern.
Was ist ein CAA-Eintrag
Ein CAA-Eintrag (Certification Authority Authorization) ist ein Eintrag in der DNS-Zone einer Domain, der angibt, welche Zertifizierungsstelle SSL-Zertifikate ausstellen darf zur Domäne. Wenn im DNS kein CAA-Eintrag aufgeführt ist, kann jede CA ein Zertifikat für diese Domäne ausstellen. Wenn ein CAA-Eintrag vorhanden ist, dürfen nur die in den Einträgen aufgeführten CAs Zertifikate für die Domäne ausstellen. CAA-Einträge können domänenweite Richtlinien oder bestimmte Namen festlegen. CAA-Einträge werden auch von Subdomains geerbt, sodass ein in example.net eingefügter CAA-Eintrag auch für alle Subdomains wie subdomains.example.net gültig ist.
- CAA-Einträge sind in RFC 6844 spezifiziert .
- Im März 2017 wurde im CAB-Forum über die Verpflichtung zur Prüfung von CAA-Domain-Einträgen abgestimmt, und seit dem 8. September 2017 sind alle öffentlichen CAs verpflichtet, CAA-Domain-Einträge zu prüfen, bevor sie ein Zertifikat ausstellen, und den Zertifikatsantrag gegebenenfalls abzulehnen der CAA-Eintrag existiert und die CA ist dort nicht aufgeführt.
CAA-Datensatzwerte
Das kanonische Darstellungsformat des CAA-Datensatzes ist: CAA <flags> <tag> <value>
- <flags> (0 – 255) Der Standardwert ist 0 (erforderlich). Wenn Sie 1 eingeben, blockiert dies die Validierung, wenn das Tag der CA unbekannt ist. Wir empfehlen die Einstellung auf „0“.
Jede Zertifizierungsstelle kann außerdem ihre eigenen Parameter in Form von Werten spezifizieren. - Die <tag>-Parameter
- issue ermöglicht die Ausstellung aller Arten von Zertifikaten von einer bestimmten CA Mit
- issuewild können Sie die Ausstellung von WildCard-Zertifikaten separat zulassen
Durch die Angabe von 0 issuewild ";" geben wir an, dass auf der Domain keine WildCard-Zertifikate ausgestellt werden sollen
Die Eigenschaft issuewild hat die gleiche Syntax und Semantik wie die Eigenschaft issue, außer dass die Eigenschaft issuewild nur die Autorisierung zum Ausstellen von Zertifikaten gewährt, die eine Wildcard-Domäne angeben, und die Eigenschaft issuewild Vorrang vor den Issue-Eigenschaften hat, wenn sie angegeben ist. - iodef legt die E-Mail-Adresse oder Webdienstadresse zum Melden von Richtlinienverstößen fest, die in CAA-Aufzeichnungen von einer Zertifizierungsstelle aufgeführt sind
- <value>
Beispiel für CAA-Eintragsformat in DNS:
- Domänentypwert | Hinweis
- sslmentor.com. IN CAA 0 Ausgabe "sectigo.com" | Zertifikat kann von CA Sectigo ausgestellt werden
- sslmentor.com. IN CAA 0 Ausgabe "letsencrypt.org" | Zertifikat kann von Let’s Encrypt ausgestellt werden
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | NUR CA Sectigo kann ein Wildcard-Zertifikat ausstellen
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | Kontakt zur Meldung von Verstößen
So stellen Sie den CAA-Eintrag ein
Bevor wir einen CAA-Eintrag in der DNS-Zone platzieren, ist es ratsam, ihn mit einem der Online-Dienste zu generieren. Ein solches Tool ist SSLMate (CAA Record Helper), das eine Wahl vieler Zertifizierungsstellen. Sie müssen lediglich Ihre bevorzugte Autorität auswählen, ob Sie ein beliebiges Zertifikat oder sogar eine WildCard ausstellen können, und der Generator bietet Datensätze zum Einfügen in das DNS an.
CAA-Eintrag in DNS einfügen
Um einen CAA-Eintrag einzufügen, muss der Anbieter des DNS-Eintrags ihn unterstützen. Heutzutage sollte jeder Hoster oder Registrar anbieten, CAA-Einträge in DNS einzugeben. Die Bilder zeigen die Einfügung bei einigen Hosting-Diensten. Nach dem Einfügen von CAA-Einträgen muss immer gewartet werden, bis es expandiert. Wenn das Hosting dies erfordert, vergessen Sie nicht, neue DNS-Einträge im Internet zu veröffentlichen. Beispielsweise müssen Sie "Änderungen übernehmen" bestätigen.
Prüfung des CAA-Eintrags
Während die DNS-Einträge erweitert werden, können wir einige der Online-Tools verwenden, um zu überprüfen, ob wir CAA-Einträge erfolgreich hochgeladen haben. Beispiel: dnsspy.io/labs/caa-validator oder indem Sie einen CAA-Eintrag im DNS mit digwebinterface.com
Wohin als nächstes?
Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!