DNS Certification Authority Authorization

DNS Certification Authority Authorization (CAA) verwendet das Domain Name System, um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden.

DNS Certification Authority Authorization ist im Internetstandard RFC 8659^[1] von 2019 definiert.

Struktur eines CAA Records[Bearbeiten | Quelltext bearbeiten]

Jeder CAA Record hat ein Flag und eine Eigenschaft und ist im DNS als ein Resource Record (RR) vom Typ 257 ausgeführt, wobei mehrfache CAA Records pro Domain vorkommen dürfen. Das Flag beeinflusst die Interpretation des Records. Die Eigenschaft erlaubt die Auswahl verschiedener Typen eines CAA Records.^[2]

Mit Stand Anfang 2019 ist lediglich ein einziges Bit definiert: das englisch issuer critical flag. Wenn dieses Flag gesetzt wird, das Bit hat eine Stellenwertigkeit 128, bedeutet dies, dass CAs, welche die Eintragungen im CAA Record nicht auswerten können, kein Zertifikat für die Domain ausstellen dürfen.^[3]

Neben dem Flag sind die folgenden drei Eigenschaften festgelegt:

issue

Diese Eigenschaft erlaubt einer CA, welche im value-Feld definiert wird, das Ausstellen eines Zertifikates für die betroffene Domain.

issuewild

Diese Eigenschaft funktioniert wie issue, jedoch nur für Wildcard-Zertifikate. Für diese hat die Eintragung Vorrang vor der unter issue.

iodef

Diese Eigenschaft erlaubt es dem Domaininhaber optional eine Kontaktmöglichkeit für die Zertifizierungsstelle zur Verfügung zu stellen. Nicht alle Zertifizierungsstellen unterstützen diese Eigenschaft.

Obligatorische Prüfung[Bearbeiten | Quelltext bearbeiten]

Ursprünglich war die Implementierung von CAA freiwillig. Zertifizierungsstellen konnten selber entscheiden, ob sie den Record überprüfen oder nicht. Im März 2017 entschied das CA/Browser Forum, dass CAs diesen Record prüfen müssen. Im September 2017 trat diese Regelung in Kraft.^[4]

Durch das Obligatorium gewinnt dieser Record an Bedeutung und wird von immer mehr Nameserver-Providern unterstützt.^[5]

Beispiele[Bearbeiten | Quelltext bearbeiten]

Ein CAA Record kann wie folgt einer Zertifizierungsstelle mit der Domain ca.example.net erlauben, für die Domain example.com einfache Zertifikate auszustellen. Alle anderen Zertifizierungsstellen dürfen dann für example.com keine einfachen Zertifikate ausstellen:

example.com. IN CAA 0 issue "ca.example.net"

Um für die Domain example.com die Ausstellung einfacher Zertifikate und Wildcard-Zertifikate zu verbieten, können folgende Einträge vorgenommen werden:

example.com. IN CAA 0 issue ";"

example.com. IN CAA 0 issuewild ";"

Die Angabe der Kontaktmöglichkeit kann auf verschiedene Arten erfolgen, beispielsweise in Form einer E-Mail-Adresse oder über einen web-basierenden Dienst:

example.com. IN CAA 0 iodef "mailto:security@example.com"

example.com. IN CAA 0 iodef "https://security.example.com/"

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Phillip Hallam-Baker, Rob Stradling, J. Hoffman-Andrews: RFC 8659 – DNS Certification Authority Authorization (CAA) Resource Record. 2019 (englisch).
2. ↑ What is a CAA record? In: DNSimple Help. Abgerufen am 10. Juli 2017. 
3. ↑ RFC 6844 – DNS Certification Authority Authorization (CAA) Resource Record. Januar 2013, Abschnitt 3: The CAA RR Type. (englisch).
4. ↑ New Mandatory CAA Checking on the Horizon. Entrust, abgerufen am 10. Juli 2017 (amerikanisches Englisch). 
5. ↑ CAA Records für mehr Sicherheit. In: hosttech. 28. Juni 2017 (hosttech.ch [abgerufen am 10. Juli 2017]).