How Can We Help?
CAA-Datensatz – Zertifizierungsstellenberechtigung
Was ist CAA?
CAA ist ein Standard , mit dem Sie steuern können, welche Zertifizierungsstellen (CAs) Zertifikate für Ihre Domäne ausstellen dürfen. Sie können CAA verwenden, um das Risiko von Schwachstellen in Zertifizierungsstellen-Validierungssystemen zu reduzieren und Zertifikatbeschaffungsrichtlinien durchzusetzen.
Zur Verwendung von CAA veröffentlichen Sie eine Reihe von CAA-Einträgen im DNS Ihrer Domäne, in der die Zertifizierungsstellen aufgeführt sind, die Sie zur Ausstellung von Zertifikaten berechtigen. Vor der Ausstellung eines Zertifikats überprüft die Zertifizierungsstelle Ihre CAA-Datensätze und blockiert die Anforderung, wenn sie nicht aufgeführt ist.
Was ist ein CAA-Datensatz?
Ein CAA-Datensatz ( Certification Authority Authorization ) ist ein Standard, mit dem Sie angeben können, welche Zertifizierungsstellen (CAs) Zertifikate für Ihre Domäne ausstellen dürfen.
Der Zweck des CAA-Datensatzes besteht darin, Domänenbesitzern zu erlauben, zu autorisieren, welche Zertifizierungsstellen ein Zertifikat für eine Domäne ausstellen dürfen. Vor der Ausstellung eines Zertifikats überprüft die Zertifizierungsstelle Ihre CAA-Datensätze und blockiert die Anforderung, wenn sie nicht aufgeführt ist. Wenn kein CAA-Datensatz vorhanden ist, darf eine Zertifizierungsstelle ein Zertifikat für die Domäne ausstellen.
CAA-Einträge können Richtlinien für die gesamte Domäne oder für bestimmte Hostnamen festlegen. CAA-Einträge werden auch von Unterdomänen vererbt. CAA-Datensätze können die Ausstellung von Einzelnamenszertifikaten, Platzhalterzertifikaten oder beiden regulieren.
Alle Zertifizierungsstellen wurden ab dem 8. September 2017 dazu aufgefordert, CAA-DNS-Einträge zu überprüfen . .
Wir erkennen die folgenden Domain-Namen in den Ausgabe- und Issuewild-Eigenschafts-Tags als erlaubte Ausgabe an:
comodo.com
comodoca.com
usertrust.com
trust-provider.com
sectigo.com
Die folgenden DNS-Server unterstützen CAA-Einträge:
- BIND (vor Version 9.9.6 verwenden Sie die RFC 3597- Syntax)
- NSD (Vor Version 4.0.1 RFC 3597- Syntax verwenden)
- PowerDNS ≥ 4.0.0
- DNS knoten ≥2.2.0
- Google Cloud-DNS
- DNSimple
Standard-BIND-Zonendatei
Für BIND ≥ 9.9.6, PowerDNS ≥ 4.0.0, NSD ≥ 4.0.1, Knoten-DNS ≥ 2.2.0
Beispiel: comodo.com. IN CAA 0 Ausgabe „comodoca.com“
Generisch
Für Google Cloud DNS, DNSimple
- 0 Ausgabe „comodoca.com“
Zusätzliche Referenzinformationen: https://tools.ietf.org/html/rfc6844