Unterstützung für CAA Record Extensions nach RFC 8657 (accounturi und validationmethods)

    Moin moin,


    mit RFC 8657 wurden zwei neue Parameter für CAA Records spezifiziert: accounturi und validationmethods. Ersteren würde ich für meine Domain auch gerne setzen, scheitere aber im CCP an einer Fehlermeldung:


    Code
    Fehler:

Eintrag ungültig: * CAA 0 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/123456789" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-255 issue/issuewild/iodef "domain.tld"

    Eine 0 ist tatsächlich zu viel, aber auch wenn ich sie raus nehme, sieht der Fehler nicht anders aus. Ich vermute mal, dass die neuen Parameter noch nicht unterstützt werden. Es wäre sehr cool, wenn das demnächst nachgereicht werden könnte.


    Viele Grüße

    Burnus

    Quote from nitram

    Hallo,

    ich habe das so bei einer meiner Domains

    pasted-from-clipboard.png

    das funktioniert auch so.

    Es geht hier jedoch um die Extension, die zusätzlich accounturi und validationmethods erlaubt.

    z.B. so:

    pasted-from-clipboard.png

    (erlaubt nur die Erstellung von Zertifikaten bei Let's Encrypt und nur für einen bestimmten ACME-Account)


    Das scheint wohl bei netcup nicht zu funktionieren (Screenshot ist nicht im netcup-DNS)

    Wird dieses Format immerhin bei der neuen Implementierung unterstützt werden? :(


    Oder bezieht sich die seit (fast) einem Jahr angekündigte Neuentwicklung nicht auf jene Funktionen, die alle Eingaben validieren?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

    Gibt es Neuigkeiten zur Unterstützung der CAA accounturi= und validationmethods= Optionen?


    Stand 2025-05-20 kommt leider immer noch die Fehlermeldung:

    @ CAA 0 128 issue "letsencrypt.org;validationmethods=dns-01;accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/123456789" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-255 issue/issuewild/iodef "domain.tld"


    Die beiden Optionen sind "wertvoll" und hätten in Oktober 2023 einen erfolgreich durchgeführten MiTM Angriff auf eine Chat-Plattform verhindern/erschweren können.

    Quote from and

    Gibt es Neuigkeiten zur Unterstützung der CAA accounturi= und validationmethods= Optionen?

    Quote from KB19

    Wird dieses Format immerhin bei der neuen Implementierung unterstützt werden?

    Ja, bei der neuen DNS-Verwaltung wird das Format unterstützt:

    Code
    dig CAA test.XXXXXXXX.de @netcup.firstns.cc +short
0 issue "example.net; accounturi=https://example.net/account/1234; validationmethods=dns-01"

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*