Bei DNS CAA handelt es sich um eine Methode, um per [wiki title=“Domain Name System“]DNS[/wiki]-Eintrag festzulegen, welche CA (Zertifikats-Herausgabestelle) das [wiki title=“Transport Layer Security“]SSL-Zertifikat[/wiki] für eine gesicherte Datenverbindung herausgeben darf (z.B. https bei Web-Servern oder TLS bei Mail-Servern).
Programme, die über eine gesicherte Verbindung Daten austauschen und DNS CAA unterstützen, können nun den Wert aus den DNS-Einträgen der Domain auslesen und mit dem Zertifikat abgleichen. So wird zum einen sichergestellt, dass nicht irgend ein CA das Zertifikat für die angegebene Domain herausgeben kann, sondern nur ein fest definierter. Weiterhin kann diese Angabe genutzt werden, um abzugleichen, ob das Zertifikat eines Servers (neben anderen Daten, die im Zertifikat enthalten sind) gültig ist. Sollte z.B. ein Zertifikat von subdomain.example.com von [wiki]Let’s Encrypt[/wiki] ausgestellt, aber in der CAA-Angabe [wiki]DigiCert[/wiki] angegeben sein, stimmt etwas mit dem ansonsten gültigen Zertifikat nicht.
Einrichtung
Um DNS CAA einzurichten, müssen Sie nur in die DNS-Einstellungen der zu schützenden Domain gehen und einen DNS-Record vom Typ „CAA“ anlegen.
Bei unserem Provider sieht dies folgendermaßen aus:
Wir haben in diesem Beispiel die Subdomain mail (Hostname) unterhalb von drehpunkt.de bearbeitet.
Das Zertifikat darf nur vom CA „rapidssl.com“ (Wert) angenommen werden.
Mit Setzen des Flags „128“ legen wir fest, dass CAs nur dann ein Zertifikat erneuern dürfen, wenn sie auch der festgelegte CA sind.
Der Typ „issue“ besagt, dass die CA exakt die angegebene Domain prüfen soll, der [wiki title=“Time to Live“]TTL[/wiki] von 1 Stunde bewirkt, dass die CAA DNS-Einstellungen stündlich zu erneuern sind.
Falls Sie bei Ihrer Domain-Administration keine solche Oberfläche finden können, ist es auch möglich, den Eintrag „manuell“ vorzunehmen.
Der dazugehörige DNS Record würde wie folgt aussehen:
mail.drehpunkt.de 3600 IN CAA 128 issue "rapidssl.com"
Prüfung der Konfiguration
Um die gemachten Einstellungen zu überprüfen, kann man z.B. den Web-Dienst „SSL Labs“ von Qualys nutzen:
https://www.ssllabs.com/ssltest/analyze.html
Wenn alle Einstellungen korrekt vorgenommen wurden, sollte SSL Labs den DNS CAA-Eintrag in Grün anzeigen.
Weitere Quellen
- CAA Mandated by CA/Browser Forum (Englisch)
- Wikipedia „DNS Certification Authority Authorization“ (Deutsch)