SSL-Zertifikate: Neuer DNS-Record „CAA“ ab September 2017 verpflichtend
News für alle Nutzer von SSL-Zertifikaten: Ab September 2017 sind alle Aussteller von SSL-Zertifikaten - so genannte "Certificate Authorities" - verpflichtet vor Ausstellung oder Erneuerung eines SSL-Zertifikates den neuen DNS-Record "CAA" zu prüfen. War diese Prüfung vorher noch optional, wird sie also bald verpflichtend. Wer den entsprechenden DNS-Eintrag nicht gesetzt hat, kann also in Kürze Probleme bekommen.
Zugegeben. Die Headline ist etwas reißerisch formuliert. Der entsprechende DNS-Record selber ist weiterhin optional, doch sind die „Certificate Authorities“ ab September 2017 entsprechend verpflichtet diesen zu checken und können unter Umständen auch die Ausstellung eines Zertifikates verweigern. Ob dies der Fall ist, weiß man nicht. Allerdings sollte man sich auf dieses Experiment gar nicht erst einlassen und rechtzeitig entsprechende Vorkehrungen treffen.
Was ist dieser CAA-Record?
Dieser neue CAA-Record reiht sich in die „Familie“ anderer populärer DNS-Records wie MX, CNAME, A oder zum Beispiel TXT ein. Der CAA-Record soll sicherstellen, dass nur „Certificate Authorities“ ein gültiges Zertifikat ausstellen können, die auch durch den Domaininhaber dazu explizit freigegeben wurden.
Das erhöht maßgeblich die Sicherheit und erlaubt dem Domaininhaber (oder zumindest demjenigen der Zugriff auf die DNS-Einstellungen hat) genau zu bestimmen, wer überhaupt ein Zertifikat ausstellen darf. Bisher war es möglich Domain-Zertifikate „relativ freizügig“ erstellen zu lassen. Hauptsache die Domain pointet auf die korrekte IP-Adresse.
Wie sieht dieser DNS-Record aus?
Angenommen man möchte lediglich „Let’s Encrypt“ als „Certificate Authority“ akzeptieren, kann ein entsprechender DNS-Eintrag folgendermaßen aussehen:
pixelbar.be. CAA 0 issue "letsencrypt.org"
In diesem Falle wird nur „Let’s Encrypt“ für die Domain pixelbar.be neue Zertifikate ausstellen („issue“) dürfen. Möchte man eine zweite Zertifizierungsstelle erlauben, muss ein weiterer DNS-Eintrag nach dem gleichen Schema erstellt werden.
pixelbar.be. CAA 0 issue "letsencrypt.org"
pixelbar.be. CAA 0 issue "globalsign.com"
Achtung: Subdomains (auch www) müssen explizit als eigene Einträge notiert werden, da sie sonst nicht berücksichtigt werden können.
Sind mit dieser Schreibweise auch Wildcard-Zertifikate möglich?
Möchte man die Ausstellung eines Wildcard-Zertifikates legitimieren, muss man statt „issue“ den Befehl „issuewild“ notieren. „Let’s Encrypt“ erlaubt übrigens ebenfalls ab Anfang 2018 die Ausstellung von Wildcard-Zertifikaten. Bisher konnte man nur Domain-Zertifikate über „Let’s Encrypt“ beantragen – Wildcard-Zertifikate waren bisher nur den kostenpflichtigen „Certificate Authorities“ vorbehalten.
pixelbar.be. CAA 0 issuewild "letsencrypt.org"
pixelbar.be. CAA 0 issuewild "globalsign.com"
Was ist ein Wildcard-Zertifikat und welche Vorteile bietet es?
Mit Wildcard-Zertifikaten kann mit einem einzigen Zertifkat beliebig viele Subdomains "bedienen". Das ist ein großer Vorteil, schließlich muss im Falle eines normalen Domain-Zertifikates ein einzelnes SSL-Zertifikat pro Domain und Subdomain erstellt werden. Gerade Organisationen, die sehr viele Dienste unter zahlreichen Subdomains einer einzelnen Domain bündeln, setzen auf Wildcard-Zertifikate.
Werde ich benachrichtigt wenn es Probleme bei der Ausstellung des SSL-Zertifikates gab?
Das kann via DNS zusätzlich implementiert werden. In diesem Fall kann man den Tag „iodef“ nutzen, um eine Mail-Adresse zu notieren. Kommt es aufgrund einer CAA-Prüfung zu Problemen bei der Ausstellung eines Zertifikate, bekommt man damit umgehend Bescheid.
pixelbar.be. CAA 0 iodef "mailto:mail@domain.be"
Wo finde ich im Netz weitere Ressourcen zum Thema?
- Online kann man über den „CAA Record Generator“ auf einen sinnvollen Dienst zurückgreifen. Sobald man einen Domainnamen eingegeben hat, füllt der Generator alle Einträge aus und man kann sich entsprechend via Copy/Paste bedienen.
- Artikel auf ssl.com zum Thema: https://www.ssl.com/article/certification-authority-authorization-caa/
- Wikipedia: https://de.wikipedia.org/wiki/DNS_Certification_Authority_Authorization