CAA Record Lookup: Kontrollieren Sie, wer Zertifikate fuer Ihre Domain ausstellen kann

CAA: Zugriffskontrolle fuer Zertifikate

CAA-Eintraege (Certificate Authority Authorization, RFC 8659) ermoeglichen es dem Domaineigentuemer, im DNS festzulegen, welche Certificate Authorities (CAs) berechtigt sind, SSL-Zertifikate fuer diese Domain auszustellen. Seit September 2017 sind alle oeffentlichen CAs verpflichtet, CAA-Eintraege zu ueberpruefen, bevor sie ein Zertifikat ausstellen. Wenn der CAA-Eintrag die CA nicht autorisiert, wird die Ausstellung blockiert. Dies verhindert die Ausstellung betruegerischer Zertifikate durch kompromittierte CAs oder Validierungsfehler.

Ohne CAA-Eintraege kann jede CA der Welt ein Zertifikat fuer Ihre Domain ausstellen. Mit den etwa 150 existierenden oeffentlichen CAs und Hunderten von Zwischen-CAs ist die Angriffsflaeche enorm: Es genuegt, eine einzige CA (oder ihren Validierungsprozess) zu kompromittieren, um ein betruegerisches Zertifikat zu erlangen. CAA-Eintraege reduzieren diese Flaeche drastisch: Wenn Sie nur Let's Encrypt autorisieren, koennen die anderen 149 CAs keine Zertifikate fuer Sie ausstellen, selbst wenn sie kompromittiert sind.

Konfiguration der CAA-Eintraege

# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Drei Tags sind verfuegbar: issue autorisiert eine CA, normale Zertifikate auszustellen, issuewild autorisiert die Ausstellung von Wildcard-Zertifikaten (*.domain.com), und iodef gibt an, wohin Benachrichtigungen ueber unautorisierte Versuche gesendet werden sollen. Wenn Sie nur issue ohne issuewild angeben, erben Wildcards die issue-Richtlinie. Wenn Sie moechten, dass nur eine bestimmte CA Wildcards ausstellen kann, verwenden Sie issuewild explizit.

Ueberpruefung und Wartung

Verwenden Sie unseren CAA Record Lookup, um die CAA-Eintraege Ihrer Domain zu ueberpruefen und sicherzustellen, dass die autorisierten CAs mit denen uebereinstimmen, die Sie tatsaechlich verwenden. Bevor Sie die CA wechseln (z.B. von Let's Encrypt zu DigiCert), aktualisieren Sie die CAA-Eintraege im Voraus, andernfalls kann die neue CA das Zertifikat nicht ausstellen. Ueberpruefen Sie auch SSL Check, um zu bestaetigen, dass das aktuelle Zertifikat von einer autorisierten CA ausgestellt wurde.

CAA-Eintraege werden an Subdomains vererbt: Wenn example.com einen CAA-Eintrag hat, erben alle Subdomains ohne eigene CAA-Eintraege die Richtlinie des Elternteils. Sie koennen die Richtlinie fuer bestimmte Subdomains ueberschreiben. Diese Hierarchie ist nuetzlich: Sie koennen Let's Encrypt fuer die Hauptdomain autorisieren und DigiCert fuer eine bestimmte Subdomain, die ein EV-Zertifikat benoetigt. Ueberpruefen Sie die Vererbungskette mit DNS Lookup, indem Sie die CAA-Eintraege auf jeder Ebene kontrollieren.

Der iodef-Tag wird oft uebersehen, ist aber sehr nuetzlich: Er benachrichtigt Sie, wenn eine CA die Ausstellung eines Zertifikats fuer Ihre Domain aufgrund von CAA-Eintraegen ablehnt. Dies kann auf Folgendes hindeuten: einen betruegerischen Ausstellungsversuch (ein Angreifer versucht, ein Zertifikat fuer Ihre Domain zu erhalten) oder ein betriebliches Problem (Ihr Team versucht, eine nicht autorisierte CA zu verwenden). In beiden Faellen ermoeglicht Ihnen die Benachrichtigung, schnell zu handeln.