Du hast lange nach deinem Domainnamen gesucht? Du hast ihn registriert und jetzt stehst Du vor der Aufgabe ihn sicher zu verwalten. Unser Beitrag zum Thema CAA hilft Dir deine Domain noch sicherer zu machen.

Veröffentlicht am 23. April 2021 in Kategorie: Webseitensicherheit mit Tags: CAA IT-Sicherheit WWW Webseitensicherheit Domain

Was ist dieses CAA und was macht es?

CAA ist die Abkürzung für Certification Authority Authorization. Ein CAA-Eintrag (auch CAA-Record genannt) sagt, welche Zertifizierungsstellen (CA) SSL-Zertifikate für deine (Sub-)Domain ausstellen dürfen. CAs sind verpflichtet diese Einträge zu prüfen.

Das schöne dabei ist, dass Du als Domaininhaber entscheiden kannst, welche CA für deine Domain gültige Zertifikate ausstellen darf. Das einzige, was Du dazu tun musst, ist einen passenden CAA-Eintrag erstellen und in deinen DNS-Server eintragen oder in den DNS-Server deines DNS-Providers eintragen lassen.

Wie sieht so ein CAA-Eintrag eigentlich aus?

Ein Beispiel-CAA-Eintrag ist z.B.:

sicher3.de. 3600 IN CAA 128 issue "letsencrypt.org"

Der erste Teil "sicher3.de." gibt an für welche Domain der Eintrag gültig ist.

Darauf folgt die Zeit (hier 3600), die der Eintrag im Speicher eines DNS-Caches bleiben darf, bevor er neu abgefragt wird.

Ein wichtiger Wert ist der nummerische Wert direkt hinter CAA. Dies ist entweder 128 oder 0. 128 bedeutet, dass der Eintrag von allen CAs beachtet werden muss (manchmal auch als kritisch benannt) und 0 (unkritisch) würde dementsprechend bedeuten, dass der Eintrag nur eine Empfehlung ist und meist keine Anwendung findet.

Die nächste Option gibt an, welcher Typ von Zertifikaten ausgestellt werden darf - im Beispiel ist dies issue:

issue - die definierte Zertifizierungsstelle (CA) darf für die betreffende Domain ein Zertifikat ausstellen.

issuewild - die definierte Zertifizierungsstelle (CA) darf dediziert Wildcard-Zertifikate für die betreffende Domain ausstellen.

iodef - erlaubt es optional Kontaktdaten für Zertifizierungsstellen anzugeben, allerdings wird diese Option oft nicht unterstützt. Prüfe zuerst, ob es dein Provider anbietet.

Der letzte Wert gibt die definierte Zertifizierungsstelle an.

Ok, und nun? Wie bekomme ich so einen CAA-Eintrag?

Es ist wichtig einen CAA-Eintrag zu haben, dass nicht andere CAs nicht legitimierte Zertifikate für deine Domain ausstellen. Würde es dennoch passieren, wären Phishing-Angriffe oder Fake-Shops einfach realisierbar.

Schütze Dich und deine Kunden noch heute gegen solche Art von Angriffen.

Das Ziel einen CAA-Eintrag zu bekommen, kannst Du auf mehreren Wegen erreichen:

  • Es gibt im Internet einige Generatoren, die dir gültige CAA-Einträge generieren.
  • Du kannst ihn auch nach oben genanntem Schema selbst erstellen.

In beiden Fällen ist es notwendig den Eintrag im DNS-Server zu machen.

Ist Dir das alles zu aufwendig, kannst Du sehr gerne mit uns Kontakt aufnehmen und wir helfen Dir.

© Copyright 2021 SICHER3 GmbH & Co. KG - All Rights Reserved