RFC6844: CAA RR im DNS

  • Aber gerne, ein schönes Wochenende.

    Freut mich, dass es jetzt funktioniert.


    Haben Sie schon versucht für diese Domain ein Wildcard-Zertifikat auszustellen?


    Gerade eben versucht, über Let's Encrypt ein Wildcard-Zertifikat auszustellen. Es sieht dann so aus:

    Code
    An unexpected error occurred:
    Error creating new cert :: Rechecking CAA: While processing CAA for test.domain.tld: CAA record for test.domain.tld prevents issuance
    Please see the logfiles in /var/log/letsencrypt for more details.

    Also es funktioniert perfekt mit CAA-Records.

    Ihr seid echt klasse, liebes Netcup-Team!


    EDIT:

    Versuch für die Hauptdomain, ein Zertifikat über Let's Encrypt auszustellen, obwohl via CAA-Records untersagt:

    Funktioniert auch wunderbar. :)

  • Hallo,


    bei der Umsetzung des Flags scheint etwas schief gelaufen zu sein;


    oder anders:


    was sollte man bei folgendem Eintrag erwarten?


    Code
    @   CAA    128 issue "letsencrypt.org"
    @   CAA    128 issuewild ";"

    auf https://www.ssllabs.com zeigt er die 128 als 28 an;

    ich habe eine weitere Domain, welche ich selbst auf meinem DNS hoste,

    dort werden diese Flag-Werte obwohl im BIND ZONE-File so

    Code
        IN CAA 128  issue "letsencrypt.org"
        IN CAA 128  issuewild ";"

    definiert, gar nicht angezeigt ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Nachtrag, ich habe das Problem eingegrenzt:

    wenn so wie im ZONE-File definiert, dann liefert

    dig domain type257 das

    hingegen bei den neuen CAA Einträgen wie hier:

    screenCAA.png

    liefert dig domain type257 das ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hallo,

    stimmt, mit Parameter 0 funktioniert es;


    evtl. beim Format-Hinweis, den man bei einer ungültigen Destination des CAA Eintrags bekommt

    nicht 0-256 sondern 0-255 ausgeben;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • [E]s ist vollbracht. Ab sofort liefern unsere DNS-Server auch CAA-Records aus[.]

    Hallo Herr Preuß,

    Ich erhalte folgenden Fehler bei versuchter "Report-URL"-Eintragung:

    Fehler: Eintrag ungültig: @ CAA 0 0 iodef "http://meinedomäne.tld/caa-report" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-256 issue/issuewild/iodef "domain.tld"

    RFC6844 spricht in diesem Zusammenhang lediglich von einem "URL". Auch wenn viele Beispiele keinen Pfad (der hier analog zu üblichen PKP-/CSP-Report-URLs verwendet werden soll) enthalten, wird er nicht explizit ausgeschlossen. Auch (bekanntere) Generatoren wie https://sslmate.com/caa/ nehmen hieran keinen Anstoß.

    Es wäre schön, wenn sich die entsprechende Überprüfung im CCP noch anpassen ließe.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    • Offizieller Beitrag

    Liebe Kunden,

    Hallo mainziman,

    Hallo m_ueberall,


    vielen Dank für Ihre Anmerkungen und Analysen. Mit solch konkreten Hinweisen ist toll zu arbeiten.


    Eine positive Nachricht:

    Sie können nun auch den Wert 128 als Flag in CAA Records verwenden.


    Die Fehlermeldung wurde von 256 auf 255 korrigiert.



    Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall)



    Als Tags akzeptieren wir weiterhin issue/issuewild/iodef. Im RFC ist Platz für Erweiterungen vorgesehen. Wir implementieren diese dann nach Bedarf.


    Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?

  • Habe soeben bei einer meiner Domains den Wert 0 auf 128 geändert;

    und ein

    dig domain type257

    liefert das erwartete Ergebnis;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • [...]

    Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall)

    [...]

    Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?

    Ja, die erneute Eingabe von @ CAA [0] 0 iodef "https://meinedomäne.tld/caa-report" wurde nun wie erwartet akzeptiert, herzlichen Dank!

    mfg M. Ueberall

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing