RFC6844: CAA RR im DNS

  • Die SSL/TLS-Testseite von Qualys schlägt neuerdings vor, einen CAA RR im DNS anzulegen, (und rfc6844 schlägt natürlich vor, DNSSEC zu aktivieren).


    https://tools.ietf.org/rfc/rfc6844.txt


    Der CAA Eintrag dient, um für eine Domain angeben zu können, welche CA für diese Domain Zertifikate ausstellen darf.


    CA's können somit vor Ausstellung eines Zertifikats prüfen, ob der Domaininhaber vorgesehen hat, dass diese CA ein Zertifikat ausstellen darf.


    Der CAA RR ist damit an die CA's gerichtet, nicht an Clients (für Clients gibt es DANE).

  • Laut Auskunft vom Kundendienst:


    Das einzige was derzeit möglich ist, sind TLSA Einträge.

  • Danke tuxmaster für die Info.
    Ich würde mir auch wünschen, wenn CAA demnächst möglich gemacht wird.


    Wenn ich das richtig lese wird ein CAA check in den Browsern enthalten sein. #mce_temp_url# 
    Eine weitere Hürde für SSL MITM attacken.



    Danke gunnarh für die Richtigstellung. Hätte mal den Text, meines eigenen Linkes ganz lesen sollen..ich lag ja in etwa 1000% daneben. Sorry.

  • Google setzt den CAA record bereits, weil sie den CA's, so zumindest mal mitteilen können, welchen CA's sie die Ausstellung von Zertifikaten für Google-Domains anvertrauen.


    CAA Mandated by CA/Browser Forum – Network Security Blog | Qualys, Inc.


    Wie der Artikel nochmal klarstellt (und wie oben bereits mehrfach geschrieben wurde), hat der CAA record exakt nichts mit Browsern und sonstiger Client-Software zu tun. Beteiligt sind nur


    - ein Domaininhaber, der ein Zertifikat anfordert
    - die CA, die prüfen muss, ob sie ein Zertifikat ausstellen darf (insbesondere anhand des CAA records)


    Hat der Domaininhaber die CA mittels CAA record als ausstellungsberechtigt ausgewiesen, vergibt die CA das Zertifikat. Ansonsten (hoffentlich) nicht.