RFC6844: CAA RR im DNS

  • Die SSL/TLS-Testseite von Qualys schlägt neuerdings vor, einen CAA RR im DNS anzulegen, (und rfc6844 schlägt natürlich vor, DNSSEC zu aktivieren).


    https://tools.ietf.org/rfc/rfc6844.txt


    Der CAA Eintrag dient, um für eine Domain angeben zu können, welche CA für diese Domain Zertifikate ausstellen darf.


    CA's können somit vor Ausstellung eines Zertifikats prüfen, ob der Domaininhaber vorgesehen hat, dass diese CA ein Zertifikat ausstellen darf.


    Der CAA RR ist damit an die CA's gerichtet, nicht an Clients (für Clients gibt es DANE).

  • Laut Auskunft vom Kundendienst:


    Das einzige was derzeit möglich ist, sind TLSA Einträge.

  • Danke tuxmaster für die Info.
    Ich würde mir auch wünschen, wenn CAA demnächst möglich gemacht wird.


    Wenn ich das richtig lese wird ein CAA check in den Browsern enthalten sein. #mce_temp_url#
    Eine weitere Hürde für SSL MITM attacken.



    Danke gunnarh für die Richtigstellung. Hätte mal den Text, meines eigenen Linkes ganz lesen sollen..ich lag ja in etwa 1000% daneben. Sorry.

  • Google setzt den CAA record bereits, weil sie den CA's, so zumindest mal mitteilen können, welchen CA's sie die Ausstellung von Zertifikaten für Google-Domains anvertrauen.


    CAA Mandated by CA/Browser Forum – Network Security Blog | Qualys, Inc.


    Wie der Artikel nochmal klarstellt (und wie oben bereits mehrfach geschrieben wurde), hat der CAA record exakt nichts mit Browsern und sonstiger Client-Software zu tun. Beteiligt sind nur


    - ein Domaininhaber, der ein Zertifikat anfordert
    - die CA, die prüfen muss, ob sie ein Zertifikat ausstellen darf (insbesondere anhand des CAA records)


    Hat der Domaininhaber die CA mittels CAA record als ausstellungsberechtigt ausgewiesen, vergibt die CA das Zertifikat. Ansonsten (hoffentlich) nicht.

  • Laut Heise müssen CA's die CAA RRs seit 08.09.2017 bindend beachten:


    https://www.heise.de/security/…A-Richtlinie-3827725.html


    Nachdem der Mechanismus offenbar greift bzw. bei Fehlverhalten ausreichend Druck auf die CA's aufgabaut wird, wäre es noch schön, wenn man CAA RR endlich auch bei netcup im DNS einpflegen dürfte. Aktuell scheint das immer noch nicht der Fall zu sein (soeben nachgeschaut).


    Wird das nun wieder so ein RFC, der mittels moderner Wegelagerei auf Seiten der Domain-/DNS-Anbieter an der Ausbreitung behindert wird?


    Wie schwer kann es sein, den CAA Eintrag zu unterstützen?


    Gerade ein Anbieter, der DNSSEC anbietet, was selten genug ist, sollte eigentlich erpicht darauf sein, seinen Vorsprung (gegenüber Ewiggestrigen, nur um hier keine Euphorie aufkommen zu lassen) weiter auszubauen und den Mehrwert von DNSSEC zur Geltung kommen zu lassen.


    Für meine Begriffe ist der 08.09.2017 der Tag, an dem man als Diensteanbieter endlich einen CAA Eintrag haben möchte. Und sinnvollerweise sollte dieser CAA-Eintrag DNSSEC-verifizierbar sein. Für netcup eigentlich ein Heimspiel.

  • Guten Tag,


    CAA wird auch bei netcup kommen. Es ist bislang ein optionaler Record. Ist kein CAA gesetzt, arbeitet alles wie bisher. Laut Golem beachtet eine große CA CAA nicht einmal. Einen wirklichen kritischen Impact gibt es hier unserer Meinung nach nicht. Kein Kunde von uns muss befürchten, dass er aufgrund fehlendem CAA keine SSL-Zertifikate mehr erhält.


    Wird der CAA gesetzt, müssen wir hier auch einiges beachten. Z.B. können wir unseren Kunden dann keine Zertifikate mehr anbieten, deren CAs nicht im CAA aufgeführt sind. Dazu bedarf es einiges an Programmierarbeit, denn sonst explodieren bei uns am Ende die Support-Anfragen, wir müssten mehr Mitarbeiter einstellen und die Preise unserer Produkte erhöhen. Das will kaum einer unserer Kunden.


    Es ist also nicht nur damit getan im DNS einen weiteren Record-Typ aufzunehmen. Da steckt deutlich mehr dahinter, weshalb es CAA Stand heute in unseren DNS-Einstellungen noch nicht gibt.


    Ich bitte um etwas Geduld. Vielen Dank im Voraus für Ihr Verständnis!



    Mit freundlichen Grüßen


    Felix Preuß

  • Vielen Dank für die Erklärungen, das ist alles sehr nachvollziehbar.

    Allerdings steht im CCP an den DNS-Einstellungen explizit dran, dass sie Risiken bergen und nur für erfahrene Nutzer gedacht sind. Vielleicht ist eine extra Checkbox (als Popup oder als Konfiguration irgendwo) eine Möglichkeit, um einerseits technisch versierten Kunden die gewünschten Records anbieten zu können, andererseits aber unbedarfte Kunden vor Fehleinstellungen zu beschützen.


    Gruß (und ein schönes langes Wochenende!)

  • Diese Warnung ist auch absolut notwendig.


    Wie soll denn unterschieden werden, wer versiert ist und wer nicht?


    Ich habe das Gefühl, jeder der einen Rechner anschalten kann, hält sich für den Gott des Internets.


    So genug geschimpft.


    Danke Felix für deine Antwort (wie immer).

    Power on! -Archlinux- -Seafile- -nginx-

  • Man kann auch zusätzlich bei der DNS eintragen, dass man per Mail benachrichtigt werden möchte, wenn bei der Ausstellung des SSL-Zertifikates Probleme gibt.

    Code
    domain.tld.  CAA 0 iodef "mailto:mail@domain.tld"
  • Wenn ich so einsetze:


    Code
    domain.tld.    IN    CAA    0 issuewild ";"

    dann gibt es eine Fehlermeldung, dass der Eintrag ungültig ist. Was ist daran ungültig?

    Ich möchte, dass die Wildcard-Zertifikate nicht ausgestellt werden.