CAA Records in der Business.ID

Was bedeutet CAA?

DNS Certification Authority Authorization (CAA) ist ein Sicherheitsmechanismus im Domain Name
System (DNS), der die Ausstellung von SSL/TLS- sowie S/MIME-Zertifikaten steuert. Mit CAA-Einträgen
können Domäneninhaber festlegen, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für
ihre Domäne auszustellen. Dadurch wird das Risiko verringert, dass eine nicht autorisierte CA ein
Zertifikat für die Domäne ausstellt, was zu Sicherheitsproblemen führen könnte. Die Prüfung der CAAEinträge basiert auf den Vorgaben der RFC 9495.
Ein potenzielles Problem ist die Abhängigkeit von CAA von DNS. Sofern ein Domaininhaber seine
Namensdienste nicht sichert, kann dies ein Angriffsvektor sein. RFC 6844 schlägt die Implementierung
vor DNSSEC (Domain Name System Security Extensions), das digital signierte DNS-Einträge
verwendet, um Daten zu authentifizieren und die Bedrohung durch DNS-Spoofing zu bekämpfen.

Wie funktioniert die CAA-Prüfung?

Zuerst erstellt der Domäneninhaber einen oder mehrere CAA-Einträge in der DNS-Zone seiner
Domäne. Ist dies geschehen, kann der Domäneninhaber bei einer CA ein SSL/TLS- oder S/MIMEZertifikat für seine Domäne beantragen. Bevor die CA ein Zertifikat ausstellt, muss sie den CAAEintrag der Domäne abfragen. Dies geschieht durch eine DNSSEC/DNS-Abfrage des CAA-Eintrags für
die Domäne. Ist die CA im CAA-Eintrag als autorisiert gelistet, fährt sie mit der Ausstellung der
Zertifikate fort. Ist dies nicht der Fall, lehnt sie die Ausstellung ab und meldet gegebenenfalls einen
Vorfall.
Grundsätzlich bedeuten leere CAA Records, dass alle CA ausstellen dürfen.

Fehlerfälle

Einer der häufigsten Fehler ist SERVFAIL. Dies weist meistens auf einen Fehler bei der DNSSEC-Validierung hin. Wenn Sie einen SERVFAIL-Fehler erhalten, sollten Sie zunächst einen DNSSEC-Debugger wie dnsviz.net verwenden. Wenn dies nicht funktioniert, ist es möglich, dass Ihre
Nameserver nur dann falsche Signaturen generieren, wenn die Antwort leer ist. CAA-Antworten sind
meistens leer.

Typische Einträge für CAA Records

Zertifikatstyp	CAA Record*
TLS	telesec.de. 43200 IN CAA 0 issuewild "telesec.de" telesec.de. 43200 IN CAA 0 issue "telesec.de" telesec.de. 43200 IN CAA 0 iodef "mailto:trustcenter.lastlevel@t-systems.com"
SMIME	telesec.de 43200 IN CAA 0 issuemail "telesec.de"

* Details dazu finden Sie in der RFC 9495

Server.ID

Qualified.ID

Business.ID

IoT/M2M PKI-Service

Energy.ID

OneTimePass.ID

TCOS Smartcards

Certificate & Signing Services

PKI & Key-Management

Identity & Access Management

Secure Elements & Smartcards

Trusted IT Operations

Smart Metering PKI

Gesundheitswesen

Fiskalisierung / Kassengesetz

Konzernlösungen der Deutschen Telekom

Root Programm

Informationen zu CA-Zertifikaten

Support

Allgemein

Kontakt

Downloads

FAQ

CAA Records in der Business.ID

Was bedeutet CAA?

Wie funktioniert die CAA-Prüfung?

Fehlerfälle

Typische Einträge für CAA Records

Sie verwenden einen veralteten Browser.