Um die eigene Domain vor Missbrauch zu schützen, kann es sinnvoll sein, einen CAA-Eintrag (="Certificate Authority Authorization") in den DNS-Einstellungen der Domain aufzunehmen. Durch diesen DNS-Typ wird festgelegt, welche Zertifizierungsstellen autorisiert sind, für eine Domain ein SSL/TLS- oder S/MIME-Zertifikat auszustellen.
Im März 2017 hat das CA-/Browser-Forum eine Richtlinie erlassen, die alle Zertifizierungsstellen ab dem 09.09.2017 verpflichtet vor der Ausstellung und Verlängerung eines Zertifikats die CAA-Einträge einer Domain zu überprüfen. Ist für eine Domain kein CAA-Eintrag erstellt worden, dann darf jede Zertifizierungsstelle ein entsprechendes Zertifikat für diese Domain ausstellen. Ist allerdings CAA-Eintrag vorhanden, dann darf die Zertifizierungsstelle nur ein Zertifikat ausstellen, wenn diese durch einen solchen Eintrag autorisiert wurde.
Die Überprüfung der CAA-Einträge erfolgt von der Subdomain-Ebene aufwärts. Das bedeutet, besitzt eine Subdomain keinen CAA-Eintrag, dann überprüft die Zertifizierungsstelle die nächsthöhere Domain-Ebene bis die Hauptdomain erreicht wurde. Für eine Subdomain können andere CAA-Einträge gelten als für die übergeordnete Domain-Ebene. So können theoretisch unterschiedliche Zertifizierungsstellen autorisiert werden. In der Regel wird jedoch ein CAA-Eintrag nur für die Hauptdomain erstellt.
Ein CAA-Eintrag kann wie folgt aussehen:
| ihredomain.tld | IN | CAA | 0 | issue | "trust-provider.com" |
| Domainname | DNS-Typ | Flag | Eigenschaft | Zertifizierungsstelle |
Der Zielwert eines CAA-Eintrags besteht aus einer Flag, einer Eigenschaft sowie der zuzulassenden Zertifizierungsstelle.
Die Flag gibt an, wie eine Zertifizierungsstelle einen CAA-Eintrag berücksichtigen soll. Als Wert können hierbei 0 bis 255 eingetragen werden. Die wichtigsten Werte sind hierbei 0, was für nicht kritisch steht und 128, was kritisch bedeutet. "Nicht kritisch" steht dafür, dass die Zertifizierungsstellen alle Einträge im CAA-Einträge igonieren sollen, sofern diese nicht ausgewertet werden können. "Kritisch" wiederum steht dafür, dass die Zertifizierungsstellen kein Zertifikat ausstellen sollen, wenn die Einträge im CAA-Eintrag nicht ausgewertet können.
Es gibt 4 Eigenschaften, die im CAA-Eintrag verwendet werden können:
Damit wir authorisiert sind für Ihre Domain ein SSL/TLS- bzw. ein S/MIME-Zertifikat zu erstellen, verwenden Sie bitte den Ausdruck "trust-provider.com" in Ihren DNS-Einstellungen. Der Eintrag müsste dann wie folgt lauten:
domain.tld IN CAA 0 issue "trust-provider.com"
domain.tld IN CAA 0 issuewild "trust-provider.com"
domain.tld IN CAA 0 issuemail "trust-provider.com"
Von persönlichen Daten bis hin zu Finanzdaten stellen SSL-Zertifikate sicher, dass die zwischen dem Browser eines Benutzers und einem Webserver übertragenen Daten verschlüsselt und sicher bleiben. Erfahren Sie hier, wie diese Technologie funktioniert.
Entdecken Sie, warum SSL/TLS-Zertifikate jetzt schneller als je zuvor ablaufen – von Jahren auf nur noch 47 Tage! Erfahren Sie, wie dieser Wandel die Sicherheit erhöht, Automatisierung erzwingt und was er für Webnutzer und Entwickler bedeutet.
LEI-Nummern sind entscheidend für den Handel und die Sicherheit im Finanzsektor. Erfahren Sie, wie sie verwendet werden, wie sie beantragt werden und welche Konsequenzen bei fehlender Nummer entstehen können. Lesen Sie mehr über die zukünftige Entwicklung von LEI-Nummern und wie sie die IT-Sicherheit verbessern können. Registrieren Sie sich bei EuropeanLEI, um Ihre eigene LEI-Nummer zu erhalten.
Die Bedeutung von SSL-Zertifikaten für KMUs und wie sie Vertrauen bei Kunden aufbauen und vor Cyberangriffen schützen können. Unterschiede zwischen verschiedenen Arten von SSL-Zertifikaten und warum sie wichtig sind.
Entdecken Sie, wie Post-Quanten-SSL Ihre Website vor zukünftigen Cyber-Bedrohungen schützen und Ihre Daten vor Angriffen durch Quantencomputer sichern kann. Lernen Sie, diese fortschrittliche Sicherheitsmaßnahme heute zu implementieren und davon zu profitieren!
![[DE]](data:image/png;base64,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){kind=small}