CAA Record (Certificate Authority Authorization)

Was ist einCAARecord?

ACAA(Zertifikat Autorisierung) ist einDNS-Record, der angibt, welche Zertifikatsbehörden (CAs)SSL/TLS-Zertifikate für eine Domain ausstellen dürfen.CAAfungiert als Sicherheitskontrolle und verhindert unbefugte Zertifikatsausgabe, auch wenn ein Angreifer einenCAkompromittiert.

WarumCAARecorden Materie

OhneCAA-Recorden könnte jede der Hunderte von vertrauenswürdigenCAsein Zertifikat für Ihre Domain ausstellen. Dies schafft Risiko:

• CAKompromiss: Wenn ein vertrauenswürdigerCAgefährdet ist, können Angreifer Zertifikate für Ihre Domain erhalten
• **Missausgabe*:CAserteilt gelegentlich Zertifikate falsch
• **Sozialtechnik*: Angreifer könnten einenCAin die Ausstellung nicht autorisierter Zertifikate betrügen

CAA-Recorden reduzieren Angriffsfläche durch Einschränkung, welcheCAsfür Ihre Domain ausstellen kann.

WieCAAfunktioniert

1. **Domain-Eigentümer veröffentlicht*CAA-Recorden inDNS

2. Zertifikat-Antrager bittet einenCAfür ein Zertifikat

3. **CASchecks*CAARecorden der Domain

4. **CA-Ausgaben* nur, wenn befugt (oder keineCAA-Recorden existieren)

5. Wenn nicht autorisiert,CAdie Anfrage ablehnen

PflichtCAPrüfung

Ab September 2017 sind alleCAsverpflichtet,CAA-Recorden vor der Ausstellung von Zertifikaten zu überprüfen. Dies ist Teil desCA/Browser Forum Baseline Anforderungen.

CAARecord Format

example.com.    IN    CAA    0 issue "letsencrypt.org"

Komponenten:

• 0: Flaggen (0 = unkritisch, 128 = kritisch)
• Probleme/Probleme/Idef: Objektbezeichnung
• **"letsencrypt.org"*: Vermögenswert (nachCA)

Eigentumsrechte

CAARecordsbeispiele

EinzelneCA(nur §§ 1 Abs.

example.com.    CAA    0 issue "letsencrypt.org"

MehrereCAs

example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 issue "digicert.com"
example.com.    CAA    0 issue "sectigo.com"

Wildcard Restriction

Erlauben SieLet's Encryptfür reguläre Zertifikate, DigiCert für Wildcards:

example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 issuewild "digicert.com"

Deny All (keine Zertifikate)

Nützlich für Domains, die keine Zertifikate haben sollten:

example.com.    CAA    0 issue ";"

Mit Reporting

example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 iodef "mailto:security@example.com"

AllgemeineCAIdentifiers

Überprüfen Sie die Dokumentation IhrerCAfür die genaue Kennung.

DurchführungCAARecords

ViaDNSProvider

Die meistenDNS-Anbieter habenCAAUnterstützung in ihrer Schnittstelle.

Via Zone File

; Allow Let's Encrypt and DigiCert
@    IN    CAA    0 issue "letsencrypt.org"
@    IN    CAA    0 issue "digicert.com"
@    IN    CAA    0 iodef "mailto:security@example.com"

CAAErbschaft

CAARecorden folgenDNSHierarchie:

• Hatexample.comCAARecorden, so gelten sie für Subdomains
• Subdomains können eigeneCAA-Recorden (übergeordnete Eltern) haben
• CAARecorden = alleCA§

example.com.        CAA    0 issue "letsencrypt.org"     ; Applies to all
api.example.com.    CAA    0 issue "digicert.com"        ; Override for api

PrüfungCAARecords

dig example.com CAA

; ANSWER SECTION:
example.com.    300    IN    CAA    0 issue "letsencrypt.org"

**Verwendung vonDomScan*:

curl "https://domscan.net/v1/health?domain=example.com"
# Reports hasCAA in security details

CAABest Practices

1. Konfigurieren Sie immerCAA: Reduzieren Sie Ihre Angriffsfläche

2. **Include allCAsyou use*: Vergessen Sie nichtCDN/cloud ProviderCAs

3. Einrichten iodef: Unberechtigte Versuche melden

4. **Test vor dem Verzicht*: Verifizieren Sie IhreCAskann noch ausgeben

5. **Keep-Daten aktualisiert*: NeueCAsvor Anforderung von Zertifikaten hinzufügen

GemeinsameCAAEmissionen

**Zertifikatserneuerung scheitert*:CAnicht inCAA-Recorden – sofern sie vor Ablauf der Bescheinigung abgelaufen sind

**Missing subdomainCAA*: Kind erbt ElternteilCAA– Setzt bei Bedarf bestimmte Recorden ein

CAAist eine einfache, aber mächtige Sicherheitskontrolle, die jede Domain implementieren sollte.