Bei DNS CAA handelt es sich um eine Methode, um per DNS-Eintrag festzulegen, welche CA (Zertifikats-Herausgabestelle) das SSL-Zertifikat für eine gesicherte Datenverbindung herausgeben darf (z.B. https bei Web-Servern oder TLS bei Mail-Servern).

Programme, die über eine gesicherte Verbindung Daten austauschen und DNS CAA unterstützen, können nun den Wert aus den DNS-Einträgen der Domain auslesen und mit dem Zertifikat abgleichen. So wird zum einen sichergestellt, dass nicht irgend ein CA das Zertifikat für die angegebene Domain herausgeben kann, sondern nur ein fest definierter. Weiterhin kann diese Angabe genutzt werden, um abzugleichen, ob das Zertifikat eines Servers (neben anderen Daten, die im Zertifikat enthalten sind) gültig ist. Sollte z.B. ein Zertifikat von subdomain.example.com von Let’s Encrypt ausgestellt, aber in der CAA-Angabe DigiCert angegeben sein, stimmt etwas mit dem ansonsten gültigen Zertifikat nicht.

 

Einrichtung

Um DNS CAA einzurichten, müssen Sie nur in die DNS-Einstellungen der zu schützenden Domain gehen und einen DNS-Record vom Typ „CAA“ anlegen.

Bei unserem Provider sieht dies folgendermaßen aus:

Wir haben in diesem Beispiel die Subdomain mail (Hostname) unterhalb von drehpunkt.de bearbeitet.
Das Zertifikat darf nur vom CA „rapidssl.com“ (Wert) angenommen werden.
Mit Setzen des Flags „128“ legen wir fest, dass CAs nur dann ein Zertifikat erneuern dürfen, wenn sie auch der festgelegte CA sind.
Der Typ „issue“ besagt, dass die CA exakt die angegebene Domain prüfen soll, der TTL von 1 Stunde bewirkt, dass die CAA DNS-Einstellungen stündlich zu erneuern sind.

Falls Sie bei Ihrer Domain-Administration keine solche Oberfläche finden können, ist es auch möglich, den Eintrag „manuell“ vorzunehmen.

Der dazugehörige DNS Record würde wie folgt aussehen:

mail.drehpunkt.de 3600 IN CAA 128 issue "rapidssl.com"

 

Prüfung der Konfiguration

Um die gemachten Einstellungen zu überprüfen, kann man z.B. den Web-Dienst „SSL Labs“ von Qualys nutzen:
https://www.ssllabs.com/ssltest/analyze.html

 

https://www.ssllabs.com/ssltest/analyze.html?d=mail.drehpunkt.de

Wenn alle Einstellungen korrekt vorgenommen wurden, sollte SSL Labs den DNS CAA-Eintrag in Grün anzeigen.

 

Weitere Quellen