Ab dem 17. September 2017 verlangen die Baseline Requirements des CA/Browser Forums, dass alle Zertifizierungsstellen (CAs) vor der Ausstellung von Zertifikaten auf Certificate Authority Authorization (CAA) überprüfen. Website-Betreiber und Domain-Administratoren müssen keine Updates vornehmen, um diese neue Anforderung zu erfüllen.
CAA ist eine Sicherheitsmaßnahme, die es Domaininhabern ermöglicht, in ihren Domain Name Servers (DNS) festzulegen, welche CAs berechtigt sind, Zertifikate für diese Domain auszustellen. Wenn eine CA eine Bestellung für ein Zertifikat für eine Domain mit einem CAA-Eintrag erhält und diese CA nicht als autorisierter Aussteller aufgeführt ist, ist es ihnen verboten, das Zertifikat für diese Domain oder eine Subdomain auszustellen.
Vorteile von CAA
Einer der Vorteile von CAA ist die Ergänzung der Certificate Transparency (CT). CT bietet Mechanismen, die Domaininhabern helfen, missbräuchlich ausgestellte oder häufig ausgestellte Zertifikate für ihre Domains nach der Ausstellung zu identifizieren, während CAA dazu beitragen kann, eine nicht autorisierte Ausstellung im Vorfeld zu verhindern. Gemeinsam bilden sie ein besseres Sicherheitsset als jede für sich alleine.
CAA kann auch Unternehmen unterstützen, die sich vereinheitlicht haben oder die sich vereinheitlichen wollen oder ihre verwendeten CAs einschränken möchten. Vor CAA gab es keine einfache Möglichkeit für Unternehmen, diese Art von Richtlinie durchzusetzen. Aber jetzt, wo alle CAs auf CAA-Einträge überprüfen müssen, können diese Richtlinien tatsächlich von den CAs durchgesetzt werden.
Implementierung von CAA
Obwohl die Überprüfung auf CAA-Einträge für CAs verpflichtend ist, ist die Verwendung von CAA optional für Domaininhaber. Sie können selbst entscheiden, ob Sie es implementieren möchten. Wenn Sie sich dafür entscheiden, können Sie bei Bedarf mehrere CAs angeben (siehe Warnhinweise später in diesem Blog).
Dies sind die Verarbeitungsregeln für CAs:
- Kein CAA-Eintrag: CA kann Zertifikat ausstellen.
- CAA-Eintrag enthält CA: CA kann Zertifikat ausstellen.
- CAA-Eintrag, aber enthält CA nicht: CA kann Zertifikat nicht ausstellen.
CAA unterstützt folgende Eigenschaften:
- Issue: Erlaubt CAs, Zertifikate auszustellen (auch Wildcard-Zertifikate, sofern nicht durch Issuewild eingeschränkt)
- Issuewild: Erlaubt CAs, ein Wildcard-Zertifikat auszustellen, aber keine Nicht-Wildcard-Zertifikate.
Hier ist ein Beispiel für den CAA-Code, den Sie Ihrer DNS-Zonendatei hinzufügen würden, wenn Sie GlobalSign autorisieren möchten, Zertifikate für example.com auszustellen:
CAA 0 issue “globalsign.com”
Denken Sie daran, die CAA-Überprüfung beginnt mit dem vollen FQDN und arbeitet sich bis zur Basisdomain vor. Wenn die CA also den FQDN von www.us.example.com validiert, überprüft sie:
- www.us.example.com, dann
- us.example.com, dann
- example.com
Detaillierte Anweisungen zum Hinzufügen von CAA-Einträgen, inklusive der Schritte für einen gehosteten DNS, finden Sie in unserem zugehörigen Support-Artikel.
Vorsicht beim Updaten von CAA
Gehen Sie beim Erstellen von CAA-Einträgen vorsichtig vor. Wenn Sie andere Abteilungen haben, die Zertifikate erhalten, müssen Sie sicherstellen, dass alle verwendeten CAs Ihren CAA-Einträgen hinzugefügt werden. Da die CAA-Überprüfung verpflichtend ist und zu abgelehnten Bestellungen führt, die eine CA nicht aufheben kann, ist es wichtig, dass der DNS-Administrator das Unternehmen nicht niedermacht! Wenn Sie einen Dienstanbieter für eine Ihrer Hosting-Lösungen verwenden, sichert dieser evtl. diese Server mit einer CA, zu der Sie keine direkte Beziehung haben. Also seien Sie vorsichtig.
Als schnelle Überprüfung können Sie Zertifikate, die für Ihre Domains ausgestellt wurden, mit https://crt.sh/ abfragen, das eine Liste der ausstellenden CAs für diese Domain zurückgibt.
GlobalSign und CAA
GlobalSign hat mit der Umsetzung von CAA am 28. August 2017 begonnen.
Wie bereits erwähnt, haben wir einige Support-Artikel erstellt, die Ihnen bei der Implementierung und der Vermeidung einiger häufiger Fehler helfen sollen. Wenn Sie weitere Fragen zu CAA haben, zögern Sie bitte nicht, uns zu kontaktieren.