CAA-Datensatz – Zertifizierungsstellenberechtigung

Sie befinden sich hier:

Was ist CAA?

CAA ist ein Standard , mit dem Sie steuern können, welche Zertifizierungsstellen (CAs) Zertifikate für Ihre Domäne ausstellen dürfen. Sie können CAA verwenden, um das Risiko von Schwachstellen in Zertifizierungsstellen-Validierungssystemen zu reduzieren und Zertifikatbeschaffungsrichtlinien durchzusetzen.

Zur Verwendung von CAA veröffentlichen Sie eine Reihe von CAA-Einträgen im DNS Ihrer Domäne, in der die Zertifizierungsstellen aufgeführt sind, die Sie zur Ausstellung von Zertifikaten berechtigen. Vor der Ausstellung eines Zertifikats überprüft die Zertifizierungsstelle Ihre CAA-Datensätze und blockiert die Anforderung, wenn sie nicht aufgeführt ist.

Was ist ein CAA-Datensatz?

Ein CAA-Datensatz ( Certification Authority Authorization ) ist ein Standard, mit dem Sie angeben können, welche Zertifizierungsstellen (CAs) Zertifikate für Ihre Domäne ausstellen dürfen.

Der Zweck des CAA-Datensatzes besteht darin, Domänenbesitzern zu erlauben, zu autorisieren, welche Zertifizierungsstellen ein Zertifikat für eine Domäne ausstellen dürfen. Vor der Ausstellung eines Zertifikats überprüft die Zertifizierungsstelle Ihre CAA-Datensätze und blockiert die Anforderung, wenn sie nicht aufgeführt ist.  Wenn kein CAA-Datensatz vorhanden ist, darf eine Zertifizierungsstelle ein Zertifikat für die Domäne ausstellen.

CAA-Einträge können Richtlinien für die gesamte Domäne oder für bestimmte Hostnamen festlegen. CAA-Einträge werden auch von Unterdomänen vererbt. CAA-Datensätze können die Ausstellung von Einzelnamenszertifikaten, Platzhalterzertifikaten oder beiden regulieren.

Alle Zertifizierungsstellen wurden ab dem 8. September 2017 dazu aufgefordert, CAA-DNS-Einträge zu überprüfen . . 

Wir erkennen die folgenden Domain-Namen in den Ausgabe- und Issuewild-Eigenschafts-Tags als erlaubte Ausgabe an:

comodo.com
comodoca.com
usertrust.com
trust-provider.com              
sectigo.com

Die folgenden DNS-Server unterstützen CAA-Einträge:

  • BIND (vor Version 9.9.6 verwenden Sie die RFC 3597- Syntax)
  • NSD (Vor Version 4.0.1 RFC 3597- Syntax verwenden)
  • PowerDNS ≥ 4.0.0
  • DNS knoten ≥2.2.0
  • Google Cloud-DNS
  • DNSimple

Standard-BIND-Zonendatei

Für BIND ≥ 9.9.6, PowerDNS ≥ 4.0.0, NSD ≥ 4.0.1, Knoten-DNS ≥ 2.2.0

Beispiel: comodo.com. IN CAA 0 Ausgabe „comodoca.com“

Generisch

Für Google Cloud DNS, DNSimple

  • 0 Ausgabe „comodoca.com“

Zusätzliche Referenzinformationen:  https://tools.ietf.org/html/rfc6844