Die CAs müssen sich ab sofort nach den CAA-Einträgen richten

25.06.2020 | Petra Alm

Die in dem CA/B Forum vereinigten Zertifizierungsstellen und Browser haben eine gemeinsame Vorgehensweise angenommen, die sie dazu verpflichtet, Informationen in dem CAA-Eintrag der Domain, für welche sie das SSL-Zertifikat ausstellen sollen, zu respektieren. Bisher konnte der CAA-Eintrag nur freiwillig eingehalten werden und tatsächlich haben ihn nur die größten Zertifizierungsstellen auf dem Markt berücksichtigt. Wozu der Eintrag dient und wie er funktioniert erfahren Sie in den folgenden Zeilen.

Was bedeutet der CAA-Eintrag?

Der CAA-Eintrag in der DNS-Zone der Domain autorisiert bestimmte Zertifizierungsstellen gerade für diese Domain die  SSL/TLS Zertifikate auszustellen. Falls bei der Domain der CAA-Eintrag eingestellt ist, muss er von anderen Zertifizierungsstellen beachtet werden – falls sie in dem Eintrag nicht aufgeführt sind, bedeutet das, dass sie für diese Domain das Zertifikat nicht ausstellen dürfen.

Dieser Typ des DNS-Eintrages hat seine Wurzeln in dem Jahre 2013. Der CAA-Eintrag in DNS verfügt über eine eigene technische Norm RFC6844 mit dem Namen DNS Certification Authority Authorization (CAA) Resource Record. In der DNS-Zone der Domain muss exakt dieser spezifische Typ des Eintrages genutzt werden.

Früher freiwillige Überprüfung ist heute Pflicht

Nun ist es einfach nachvollzuziehen, wozu der CAA-Eintrag dienen soll. Früher hat er an Popularität aus dem Grund nicht gewonnen, dass er praktisch zahnlos war – die Zertifizierungsstellen wurden zu dessen Einhaltung nicht gezwungen und der Nutzer wusste nicht, welche CAs sich nach der freiwilligen Regelung richten und welche nicht. Vor allem kleinere Zertifizierungsstellen, die für die Domaininhaber immer ein erhöhtes Risiko darstellen, haben den CAA-Eintrag ignoriert.

Dieses Ungleichgewicht wurde aber richtiggestellt und der Eintrag hat endlich an festen Umrissen gewonnen – seine Einhaltung ist seit 8.9. für alle Zertifizierungsstellen obligatorisch. Die Urkunde, in welcher sich die Mitglieder des CA/B Forums zu seiner Überprüfung verpflichten, heißt Ballot 187.

Wie der Eintrag einzustellen ist

Den CAA-Eintrag können wir uns als eine einfache Angabe vorstellen, welche in der DNS-Zone der Domain ergänzt wird. Leider wurde ihm ein eigener Eintragstyp bestimmt, der in DNS-Managern und Zonen der Webhoster aktivierte Unterstützung erfordert. Sollte die CAA-Information in dem TXT-Eintrag gespeichert sein, wäre die neue Schutzmaßnahme viel einfacher auszunutzen.

Falls Sie in der DNS-Zone der Domain diesen Eintragstyp einstellen können, zögern Sie nicht. Bei den Zertifizierungsstellen der Familie Symantec können Sie den Eintrag für jede CA einzeln einstellen. Ebenfalls können Sie aber nur einen Eintrag für alle vier CAs auf einmal einstellen – solcher wird die Zertifikatsausstellung allen vier unter Symantec gehörenden Zertifizierungsstellen ermöglichen.

Instruktionen für einzelne CAs

Den CAA-Eintrag für einzelne Zertifizierungsstellen führen wir unten an. Möchten Sie die Zertifikatsausstellung nur einer bestimmten Zertifizierungsstelle erlauben und anderen CAs daran verhindern? Dann stellen Sie den Eintrag folgendermaßen ein:

  •  DigiCert: domain.com. 3600 IN CAA 0 issue "digicert.com"
  • Symantec: domain.com. 3600 IN CAA 0 issue "symantec.com"
  • Thawte: domain.com. 3600 IN CAA 0 issue "thawte.com"
  • GeoTrust: domain.com. 3600 IN CAA 0 issue "geotrust.com"
  • RapidSSL: domain.com. 3600 IN CAA 0 issue "rapidssl.com"

Der Eintrag mit digicert.com wird alle erwähnten CAs umfassen. Es reicht also aus, nur den ersten von den angeführten Einträgen einzustellen.

Wildcard Zertifikate

Der Parameter issue lässt die Ausstellung von allen Zertifikatstypen zu. Den CAA-Eintrag können Sie jedoch auf „normale“ und Wildcard Zertifikate verteilen. Falls Sie die Ausstellung von Wildcard Zertifikaten gesondert einstellen möchten, geben Sie statt „issue“ „issuewild“ ein. Diese Differenzierung wird Ihnen ermöglichen, bei jedem von den zwei Zertifikatstypen unterschiedliche Präferenzen einzustellen.

Und umgekehrt, falls Sie einen negativen Eintrag einstellen möchten, führen Sie anstatt des Namens der CA nur ";" auf. Zum Beispiel bei solcher Domain, deren Inhaber das Wildcard Zertifikat nicht erhalten will, wird in dem CAA-Eintrag issuewild ";" stehen.

Domaininhaber brauchen die CAA-Einträge nicht zu beachten

Falls Sie bei Ihrer Domain den CAA-Eintrag nicht einstellen möchten, müssen Sie es auch nicht - die Ausstellung der Zertifikate für Ihre Domain wird dadurch nicht beeinflusst. Sie werden nur um die Möglichkeit kommen, die Liste von CAs zu korrigieren, die für Ihre Domain das Zertifikat ausstellen dürfen. Sonst benötigen Sie den CAA-Eintrag für die Ausstellung der Zertifikate nicht und er ist für Sie nicht obligatorisch.

Sollten Sie auf Probleme mit der Ausstellung der Zertifikate im Zusammenhangt mit dem CAA-Eintrag stoßen, kontaktieren Sie unseren Support auf SSLmarket.de.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de