CAA-Record

Ein CAA-Record (Certification Authority Authorization) ist ein Typ von DNS-Eintrag, der es Domain-Inhabern ermöglicht, festzulegen, welche Zertifizierungsstellen (Certificate Authorities, CAs) SSL/TLS-Zertifikate für ihre Domains ausstellen dürfen. Es handelt sich um ein Sicherheitsfeature, das dazu beiträgt, das Risiko von missbräuchlich ausgestellten Zertifikaten zu reduzieren. Das Verwenden von CAA-Records kann dazu beitragen, die Sicherheit einer Domain zu erhöhen und das Risiko der missbräuchlichen Ausstellung von Zertifikaten zu verringern.

Ein CAA-Record gibt an, welche Zertifizierungsstellen für eine bestimmte Domain oder Subdomain Zertifikate ausstellen dürfen. Wenn eine Zertifizierungsstelle einen Antrag auf ein Zertifikat erhält, prüft sie zuerst den CAA-Record der betreffenden Domain. Wenn die CA nicht in den CAA-Records aufgeführt ist oder es keine CAA-Records gibt, darf sie kein Zertifikat ausstellen.

Ein Beispiel für einen CAA-Record könnte so aussehen: example.com. CAA 0 issue „letsencrypt.org“

In diesem Beispiel wird festgelegt, dass nur die Zertifizierungsstelle „letsencrypt.org“ berechtigt ist, Zertifikate für „example.com“ auszustellen.

Das sind die Hauptkomponenten eines CAA-Records:

  • Flag: Ein numerischer Wert (meistens „0“), der angibt, wie der Record behandelt werden soll. Derzeit wird nur der Wert „0“ verwendet, was bedeutet, dass die Ausstellung des Zertifikats abgelehnt werden sollte, wenn die CA nicht berechtigt ist.
  • Tag: Ein String, der die Art der Direktive beschreibt. Die gebräuchlichsten Tags sind „issue“ (welche CAs Zertifikate ausstellen dürfen), „issuewild“ (welche CAs Wildcard-Zertifikate ausstellen dürfen) und „iodef“ (eine URL, an die Berichte über Verstöße gegen die CAA-Richtlinie gesendet werden sollen).
  • Value: Der Wert, der dem Tag zugeordnet ist. Für den „issue“-Tag wäre dies der Name der CA.

Seit September 2017 müssen alle Zertifizierungsstellen, die Mitglieder des CA/Browser Forums sind, die CAA-Records einer Domain überprüfen und respektieren, bevor sie ein SSL/TLS-Zertifikat für diese Domain ausstellen.


 zurück