DNS Certification Authority Authorization

DNS Certification Authority Authorization (CAA) verwendet das Domain Name System, um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden.

DNS Certification Authority Authorization ist im Internetstandard RFC 8659^[1] von 2019 definiert.

Struktur eines CAA Records

Jeder CAA Record hat ein Flag und eine Eigenschaft und ist im DNS als ein Resource Record (RR) vom Typ 257 ausgeführt, wobei mehrfache CAA Records pro Domain vorkommen dürfen. Das Flag beeinflusst die Interpretation des Records. Die Eigenschaft erlaubt die Auswahl verschiedener Typen eines CAA Records.^[2]

Mit Stand Anfang 2019 ist lediglich ein einziges Bit definiert: das englisch issuer critical flag. Wenn dieses Flag gesetzt wird, das Bit hat eine Stellenwertigkeit 128, bedeutet dies, dass CAs, welche die Eintragungen im CAA Record nicht auswerten können, kein Zertifikat für die Domain ausstellen dürfen.^[3]

Neben dem Flag sind die folgenden drei Eigenschaften festgelegt:

issue

Diese Eigenschaft erlaubt einer CA, welche im value-Feld definiert wird, das Ausstellen eines Zertifikates für die betroffene Domain.

issuewild

Diese Eigenschaft funktioniert wie issue, jedoch nur für Wildcard-Zertifikate. Für diese hat die Eintragung Vorrang vor der unter issue.

iodef

Diese Eigenschaft erlaubt es dem Domaininhaber optional eine Kontaktmöglichkeit für die Zertifizierungsstelle zur Verfügung zu stellen. Nicht alle Zertifizierungsstellen unterstützen diese Eigenschaft.

Obligatorische Prüfung

Ursprünglich war die Implementierung von CAA freiwillig. Zertifizierungsstellen konnten selber entscheiden, ob sie den Record überprüfen oder nicht. Im März 2017 entschied das CA/Browser Forum, dass CAs diesen Record prüfen müssen. Im September 2017 trat diese Regelung in Kraft.^[4]

Durch das Obligatorium gewinnt dieser Record an Bedeutung und wird von immer mehr Nameserver-Providern unterstützt.^[5]

Beispiele

Ein CAA Record kann wie folgt einer Zertifizierungsstelle mit der Domain ca.example.net erlauben, für die Domain example.com Zertifikate auszustellen. Alle anderen Zertifizierungsstellen dürfen dann für example.com keine Zertifikate ausstellen:

example.com. IN CAA 0 issue "ca.example.net"

Um für die Domain example.com die Ausstellung von Zertifikate zu verbieten, kann folgender Eintrag vorgenommen werden:

example.com. IN CAA 0 issue ";"

Für Wildcard-Zertifikate (*.example.com) können mittels issuewild abweichende Regelungen getroffen werden. Ist ein solcher Record vorhanden, gilt issue nur noch für einfache Zertifikate. So kann mit folgendem Eintrag die Ausstellung von Wildcard-Zertifikaten verboten werden, auch wenn einfache Zertifikate erlaubt sind:

example.com. IN CAA 0 issuewild ";"

Die Angabe der Kontaktmöglichkeit kann auf verschiedene Arten erfolgen, beispielsweise in Form einer E-Mail-Adresse oder über einen web-basierenden Dienst:

example.com. IN CAA 0 iodef "mailto:security@example.com"

example.com. IN CAA 0 iodef "https://security.example.com/"