CAA-Datensatz-Prüfer

Ein CAA-DNS-Eintrag (Certification Authority Authorization, RFC 8659) gibt an, welche Zertifizierungsstellen TLS/SSL-Zertifikate für Ihre Domain ausstellen dürfen. Ohne CAA-Einträge kann jede der Hunderten öffentlich vertrauenswürdigen CAs ein Zertifikat für Ihre Domain ausstellen — wird eine CA kompromittiert oder macht einen Fehler, könnte ein Angreifer ein gültiges Zertifikat erhalten. Mit CAA-Einträgen schränken Sie die Ausstellung auf ein oder zwei vertrauenswürdige CAs ein. Große Browser erzwingen CAA bei der Zertifikatsausstellung. CAA-Einträge sind eine Schicht in einer Defense-in-Depth-Zertifikatssicherheitsstrategie.

issue kontrolliert, welche CAs reguläre DV/OV/EV-Zertifikate für Ihre Domain ausstellen dürfen (z. B. example.com, www.example.com). issuewild kontrolliert, welche CAs Wildcard-Zertifikate (*.example.com) ausstellen dürfen. Wenn Sie nur issue=-Einträge und keine issuewild=-Einträge haben, gelten die issue=-Einträge auch für Wildcards. Wenn Sie die Ausstellung von Wildcard-Zertifikaten vollständig blockieren möchten, fügen Sie hinzu: "0 issuewild \";\"" — das Semikolon in doppelten Anführungszeichen bedeutet, dass keine CA autorisiert ist. Dies verhindert die Ausstellung von Wildcard-Zertifikaten, selbst wenn jemand Ihre CA kompromittiert.

iodef (Incident Object Description Exchange Format) teilt CAs mit, wohin sie Berichte senden sollen, wenn jemand ein Zertifikat für Ihre Domain beantragt, das gegen Ihre CAA-Richtlinie verstößt. Format: "0 iodef \"mailto:[email protected]\"". Dies gibt Ihnen eine Frühwarnung, wenn jemand versucht, ein nicht autorisiertes Zertifikat zu erhalten. Nicht alle CAs senden iodef-Berichte, aber große wie Let's Encrypt, DigiCert und Comodo unterstützen es. Es ist ein kostenloses, rauscharmes Sicherheits-Monitoring-Signal, das es wert ist, aktiviert zu werden.

Das Hinzufügen von CAA-Einträgen wirkt sich NICHT auf Ihr aktuell ausgestelltes Zertifikat aus — es betrifft nur zukünftige Zertifikatsausstellungen. Sie müssen jedoch sicherstellen, dass Ihre aktuelle CA vor dem Ablauf Ihres Zertifikats aufgeführt ist. Wenn Sie Let's Encrypt verwenden, fügen Sie hinzu: 0 issue "letsencrypt.org". Wenn Cloudflare Ihre Zertifikate verwaltet, fügen Sie hinzu: 0 issue "letsencrypt.org" und 0 issue "pki.goog" (Google Trust Services, das Cloudflare ebenfalls verwendet). Testen Sie CAA vor dem Verlängerungsdatum Ihres Zertifikats, indem Sie prüfen, welche CA Ihr aktuelles Zertifikat ausstellt (siehe TLS-Zertifikats-Checker).

Der Flag ist eine 8-Bit-Ganzzahl. Flag 0 ist der Standardwert und bedeutet "nicht kritisch" — CAs, die ein bestimmtes CAA-Tag nicht verstehen, sollten es so behandeln, als ob es nicht existiert. Flag 128 ist "kritisch" — CAs, die das Tag nicht verstehen, MÜSSEN die Ausstellung eines Zertifikats verweigern. In der Praxis wird Flag 0 für alle Standard-Tags (issue, issuewild, iodef) verwendet. Flag 128 wäre nur für benutzerdefinierte/experimentelle CAA-Tags relevant, bei denen sichergestellt werden soll, dass nicht konforme CAs die Ausstellung ablehnen. Verwenden Sie Flag 0 für alle Standard-CAA-Einträge.