Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:caa [2025/09/26 16:24] Reimer Karlsen-Masurde:dfnpki:tcs:2025:caa [2026/02/03 18:30] (aktuell) Juergen Brauckmann
Zeile 13: Zeile 13:
 Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden.
  
-Beispiel für Serverzertifikate:+**Beispiel** für alle Serverzertifikate ohne gesonderte Behandlung von Wildcard-Zertifikaten:
  
 <code> <code>
Zeile 20: Zeile 20:
 </code> </code>
  
-Beispiel für S/MIME-Zertifikate:+**Beispiel** für S/MIME-Zertifikate:
  
 <code> <code>
Zeile 26: Zeile 26:
 </code> </code>
  
 +=== Auswertung von CAA-Records bei Subdomains ===
 +
 +CAA-Records werden "von links nach rechts" abgefragt. Die CA prüft zunächst, ob im DNS ein CAA-Record beim vollständigen FQDN vorliegt. Falls nein, wird iterativ von links ein Label vom Namen entfernt, und dieser neue Name auf Vorhandensein eines CAA-Records geprüft. 
 +Z.B.:
 +<code>
 +www.sub.example.org
 +sub.example.org
 +example.org
 +org
 +</code>
 +
 +Der ersten gefundene CAA-Record wird verwendet, und es wird nicht weiter gesucht. 
 +
 +Dies bedeutet: Ein CAA-Record auf Ebene der Second-Level-Domain kann durch darunterliegende Ebenen überschrieben werden!
  
 === CNAMEs und CAA-Records === === CNAMEs und CAA-Records ===
  • Zuletzt geändert: vor 5 Monaten