1. Was ist CAA?

CAA (RFC 6844, Certification Authority Authorization) ist ein Mechanismus, bei dem im DNS hinterlegt werden kann, welche PKI für die Domain Zertifikate ausstellen darf. Die CAA Resource Records werden von allen im Browser verankerten PKIs, die sich an die Baseline Requirements des CA/Browser Forums halten, ausgewertet.

Weitere Informationen finden Sie auch in den folgenden Artikeln aus unserem Blog:

https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/
https://blog.pki.dfn.de/2017/09/caa-rrs-reihenfolge-im-dns/

2. Wie sehen CAA RRs aus?

CAA definiert drei Properties:

  • issue enthält als Wert die Domain der PKI, die für die Domain, in der die CAA RRs definiert sind, Zertifikate ausstellen darf.
  • issuewild wird wie issue gesetzt, wird aber für Wildcard-Zertifikate ausgewertet. Ist kein issuewild gesetzt, wird auch für Wildcard-Zertifikate issue ausgewertet
  • iodef spezifiziert Kontaktadressen des Domain-Inhabers, unter denen Probleme oder Verletzungen der CAA-Policy gemeldet werden können. Hinweis: Die DFN-PKI verschickt aktuell keine automatischen iodef-Meldungen.

Ein Beispiel-Eintrag für die DFN-PKI:

$ORIGIN hs-musterstadt.de
. CAA 0 issue "pki.dfn.de"

3. Können mehrere PKIs mit CAA authorisiert werden?

Ja. Die issue- oder issuewild-Properties können mehrfach angegeben werden.

4. Wie werden CAA RRs im DNS gesucht?

Bei der Prüfung von CAA RRs suchen PKIs im DNS von links nach rechts nach CAA RRs. Sub-Domains können also die CAA-Policy der übergeordneten Domain überschreiben.

Siehe hierzu auch https://blog.pki.dfn.de/2017/09/caa-rrs-reihenfolge-im-dns/.

5. Was sind gültige Werte für die DFN-PKI?

Für die DFN-PKI ist folgender Wert zu setzen:

. CAA 0 issue "pki.dfn.de"

„dfn.de” wird ebenfalls akzeptiert.

6. Wie werden DNS-Server konkret konfiguriert?

Für bind >= 9.9.6 können CAA RRs direkt spezifiziert werden:

hs-musterstadt.de. IN CAA 0 issue "pki.dfn.de"

Für ältere bind-Versionen muss auf die RFC 3597-Darstellung zurückgegriffen werden:

hs-musterstadt.de. IN TYPE257 \# 17 00056973737565706B692E64666E2E6465

Für Windows Server 2016 muss ebenfalls RFC 3597 verwendet werden:

Add-DnsServerResourceRecord -Name hs.musterstadt.de -RecordData
00056973737565706b692e64666e2e6465 -Type 257 -ZoneName hs-musterstadt.de

7. Zu welchem Zeitpunkt werden CAA RRs ausgewertet?

CAA RRs werden unmittelbar vor der Ausstellung von Server-Zertifikaten ausgewertet. In der DFN-PKI wird dies über eine (selbstverständlich server-seitige) Prüfung beim Betätigen des Buttons „Genehmigen” realisiert. CAA RRs sind nicht dafür vorgesehen, nachträglich im zeitlichen Abstand zur Ausstellung eines Server-Zertifikats geprüft zu werden.

  • Zuletzt geändert: vor 18 Monaten