CAA Records für mehr Sicherheit

Ab sofort ist es bei hosttech möglich, CAA Records zu setzen. Dies betrifft sowohl die normale Domain-Verwaltung, als auch das DNS-Tool und eigene DNS Server. Ausserdem: Ab September 2017 sind alle CAs dazu verpflichtet, CAA Records abzufragen.

Was ist ein CAA Record?

CAA steht für Certification Authority Authorization. Ein solcher Record erlaubt es, für eine Domain die berechtigten CAs (Certificate Authorities), also die Vergabestellen von Zertifikaten, einzutragen. Nur diese Stellen dürfen dann Zertifikate für die Domain ausstellen.

Wird ein CAA Record auf eine Domain gesetzt, gilt dieser auch für alle Subdomains. Wenn Sie also für beispiel.com einen Record setzen, gilt dieser auch für blog.beispiel.com. Diese Vererbung kann jedoch überschrieben werden, indem ein weiterer Record für die gewünschte Subdomain gesetzt wird.

Wieso einen CAA Record erfassen?

Wenn Sie sich jetzt fragen, wieso Sie einen CAA Record erfassen sollten, haben wir hier die Antwort: Sicherheit. Denn es ist theoretisch möglich, dass jemand anderes ein Zertifikat für Ihre Domain ausstellt. Dass dies innerhalb der selben CA passiert, bei welcher Sie Ihr Zertifikat ausgestellt haben, ist sehr unwahrscheinlich. Dass eine andere Vergabestelle jedoch ein Zertifikat erstellt, ist nicht auszuschliessen. Wenn der Angreifer nun auch noch die DNS-Abfrage Ihrer Besucher manipuliert, sehen diese eine angeblich sichere Seite mit grüner Adresszeile, wobei sie auf einer komplett anderen Seite landen.

Natürlich macht ein CAA Record am meisten in Verbindung mit DNSSEC Sinn. hosttech unterstützt als einer der wenigen Provider DNSSEC für alle Domains, die bei uns verwaltet werden.

Ebenfalls interessant: Momentan sind CAs nicht dazu verpflichtet, die CAA Records einer Domain abzufragen. Dies ändert sich jedoch per September 2017, wodurch solche Records enorm an Bedeutung gewinnen.

Wie erstellt man einen CAA Record?

Einen CAA Record erfassen Sie wie jeden anderen DNS Record. Als Host tragen Sie die betroffene Domain ein. Der Inhalt ist grundsätzlich der Name der CA. Aufgebaut ist ein solcher Record wie folgt:

CAA <flag> <tag> <value>

Diese Elemente haben folgende Bedeutung:

  • flag kann für critical auf 1 gesetzt werden
  • tag definiert die Art des Records (issue für ein beliebiges Zertifikat, issuewild ausschliesslich für Wildcard-Zertifikate, iodef für eine Kontakt-Adresse bei Verstoss gegen die Regel)
  • value beinhaltet den Namen der befugten CA

Aktuell: Let's Encrypt als Vergabestelle eintragen

Nachdem nun alle unsere Kunden von kostenlosen SSL-Zertifikaten profitieren, wäre es interessant zu wissen, wie man Let's Encrypt als authorisierte Vergabestelle erfassen kann. Dies haben wir für Sie vorbereitet. Tragen Sie als Inhalt für den CAA Record einfach folgendes ein:

CAA 0 issue "letsencrypt.org"

Interessante Links