Was ist ein CAA-Record?
Ein CAA-Record (Certification Authority Authorization) ist ein Eintrag in den DNS-Einstellungen Ihrer Domain. Dieser legt fest, welche Zertifizierungsstelle (CA) ein Zertifikat für Ihre Domain ausstellen darf.
Bei dem CAA-Record handelt es sich um optionale Sicherheitsmaßnahme, die verhindern soll, dass Zertifikate von einer nicht berechtigten Stelle ausgestellt werden. Sprich der CAA-Record legt für Ihre Domain fest, welche CA Zertifikate für Sie ausstellen darf und welche nicht.
Wenn kein CAA-Record definiert ist, darf erst einmal jede Zertifizierungsstelle weltweit Zertifikate für Ihre Domain ausstellen.
Ein CAA-Record sieht dabei wie folgt aus.
ssl-test.de. 3600 IN CAA 0 issue „digicert.com“
In dem Beispiel darf nur die Zertifizierungsstelle DigiCert Zertifikate für unsere Domain „ssl-test.de“ ausstellen. Man könnte nun noch einen zweiten oder dritten CAA-Record setzen und somit die Auswahl erweitern.
Alle CA’s die nicht explizit aufgeführt werden, dürfen dann keine Zertifikate für ssl-test.de ausstellen.
CAA-Records für SSL & S/MIME:
Bei CAA-Records wird zwischen SSL- und S/MIME-Zertifikaten unterschieden. Sprich man kann für SSL-Zertifikate bestimmte Zertifizierungsstellen ausschließen die aber dann trotzdem noch S/MIME-Zertifikate für Ihre Domain ausstellen dürfen.
Die CAA-Einträge unterscheiden sich dabei dann lediglich in der Eigenschaft, die man im Record festlegt.
Beispiel SSL-Einzelzertifikat. In diesem Beispiel darf NUR die Zertifizierungsstelle DigiCert SSL-Zertifikate für unsere Domain „ssl-test.de“ ausstellen.
ssl-test.de. 3600 IN CAA 0 issue „digicert.com“
Beispiel SSL-Wildcard-Zertifikate. In diesem Beispiel darf NUR die Zertifizierungsstelle DigiCert Wildcard-Zertifikate für unsere Domain „ssl-test.de“ ausstellen. Einzelzertifikate dürfen nach wie vor von allen CA’s ausgestellt werden.
ssl-test.de. 3600 IN CAA 0 issuewild „digicert.com“
Beispiel S/MIME-Zertifikat. In diesem Beispiel darf NUR die Zertifizierungsstelle DigiCert S/MIME-Zertifikate für unsere Domain „ssl-test.de“ ausstellen. SSL-Zertifikate egal ob Einzelzertifikate oder Wildcard-Zertifikate, dürfen von allen anderen CA’s ebenfalls ausgestellt werden.
ssl-test.de. 3600 IN CAA 0 issuemail „digicert.com“
Wie kann man einen CAA-Record testen?
Über die folgenden Tests kann man einen CAA-Record testen. Man muss lediglich die Domain des Kunden eintragen und den Test starten.
Anschließend wird ausgegeben, ob ein CAA-Record gesetzt ist und welcher CA der Kunde sein Vetrauen schenkt.
https://dnsspy.io/labs/caa-validator
https://caatest.co.uk/
Auflistung der einzelnen CAA-Records der CA’s:
achfolgend eine Auflistung der Zertifizierungsstellen in unserem Portfolio und wie diese in CAA-Records angesprochen werden können.
DigiCert, Thawte & GeoTrust
„digicert.com“
Sectigo:
„sectigo.com“
GlobalSign & AlphaSSL:
„globalsign.com“
Certum:
„certum.pl“
SwissSign:
„swisssign.com“
D-Trust:
„d-trust.net“