RFC6844: CAA RR im DNS

  • Aber gerne, ein schönes Wochenende.

    Freut mich, dass es jetzt funktioniert.


    Haben Sie schon versucht für diese Domain ein Wildcard-Zertifikat auszustellen?


    Gerade eben versucht, über Let's Encrypt ein Wildcard-Zertifikat auszustellen. Es sieht dann so aus:

    Code
    1. An unexpected error occurred:
    2. Error creating new cert :: Rechecking CAA: While processing CAA for test.domain.tld: CAA record for test.domain.tld prevents issuance
    3. Please see the logfiles in /var/log/letsencrypt for more details.

    Also es funktioniert perfekt mit CAA-Records.

    Ihr seid echt klasse, liebes Netcup-Team!


    EDIT:

    Versuch für die Hauptdomain, ein Zertifikat über Let's Encrypt auszustellen, obwohl via CAA-Records untersagt:

    Funktioniert auch wunderbar. :)

  • Hallo,


    bei der Umsetzung des Flags scheint etwas schief gelaufen zu sein;


    oder anders:


    was sollte man bei folgendem Eintrag erwarten?


    Code
    1. @ CAA 128 issue "letsencrypt.org"
    2. @ CAA 128 issuewild ";"

    auf https://www.ssllabs.com zeigt er die 128 als 28 an;

    ich habe eine weitere Domain, welche ich selbst auf meinem DNS hoste,

    dort werden diese Flag-Werte obwohl im BIND ZONE-File so

    Code
    1. IN CAA 128 issue "letsencrypt.org"
    2. IN CAA 128 issuewild ";"

    definiert, gar nicht angezeigt ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Nachtrag, ich habe das Problem eingegrenzt:

    wenn so wie im ZONE-File definiert, dann liefert

    dig domain type257 das

    hingegen bei den neuen CAA Einträgen wie hier:

    screenCAA.png

    liefert dig domain type257 das ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • [E]s ist vollbracht. Ab sofort liefern unsere DNS-Server auch CAA-Records aus[.]

    Hallo Herr Preuß,

    Ich erhalte folgenden Fehler bei versuchter "Report-URL"-Eintragung:

    Fehler: Eintrag ungültig: @ CAA 0 0 iodef "http://meinedomäne.tld/caa-report" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-256 issue/issuewild/iodef "domain.tld"

    RFC6844 spricht in diesem Zusammenhang lediglich von einem "URL". Auch wenn viele Beispiele keinen Pfad (der hier analog zu üblichen PKP-/CSP-Report-URLs verwendet werden soll) enthalten, wird er nicht explizit ausgeschlossen. Auch (bekanntere) Generatoren wie https://sslmate.com/caa/ nehmen hieran keinen Anstoß.

    Es wäre schön, wenn sich die entsprechende Überprüfung im CCP noch anpassen ließe.

  • Liebe Kunden,

    Hallo mainziman,

    Hallo m_ueberall,


    vielen Dank für Ihre Anmerkungen und Analysen. Mit solch konkreten Hinweisen ist toll zu arbeiten.


    Eine positive Nachricht:

    Sie können nun auch den Wert 128 als Flag in CAA Records verwenden.


    Die Fehlermeldung wurde von 256 auf 255 korrigiert.



    Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall )



    Als Tags akzeptieren wir weiterhin issue/issuewild/iodef. Im RFC ist Platz für Erweiterungen vorgesehen. Wir implementieren diese dann nach Bedarf.


    Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?