CAA-Record – was ist das und warum ist er wichtig?

Was ist ein CAA-Record?

Der CAA-Record ist ein Eintrag in der DNS-Zone einer Domain. Dabei steht CAA für Certification Authority Authorization. Mit diesem DNS-Eintrag wird festgelegt, welche Zertifizierungsstelle (CA) berechtigt ist, Zertifikate für diese Domain auszustellen.

Dieser Eintrag verhindert, dass unbekannte oder unerwünschte Zertifizierungsstellen Zertifikate im Namen einer Domain ausstellen. Ohne diesen Eintrag könnte jede Zertifizierungsstelle weltweit Zertifikate für die Domain ausstellen.

Dieser Eintrag wurde 2013 durch RFC 6844 standardisiert und dient der Erhöhung der Sicherheit im Web.

Wie ist ein CAA-Record aufgebaut?

Ein CAA-Record kann zum Beispiel so aussehen:
example.com. 3600 IN CAA 0 issue "example-CA.com"

Die einzelnen Bestandteile bedeuten dabei:

• example.com: Die Domain, für die der Eintrag gilt
• 3600: Time to Live (TTL), wie lange der Eintrag im Cache gespeichert wird 
• IN: Protokollklasse, steht in DNS-Einträgen üblicherweise für „Internet“
• CAA: Record-Typ
• 0: fester Wert, in der Regel immer 0
• issue: Property-Tag, das angibt, welche Art von Berechtigung definiert wird
• "example-CA.com": Welche Zertifizierungsstelle darf Zertifikate ausstellen

Welche Berechtigung genau gemeint ist, wird über den Property-Tag festgelegt:

• issue: Welche CA darf SSL-Zertifikate ausstellen
• issuewild: Welche CA darf Wildcard-SSL-Zertifikate ausstellen
• iodef: Wohin ein Bericht gesendet werden soll (z. B. Mail oder URL), wenn es einen unbefugten Versuch zur Zertifikatsausstellung gab

Wie funktioniert ein DNS-CAA-Record?

Wenn eine Zertifizierungsstelle den Auftrag erhält, ein Zertifikat auszustellen, prüft sie das DNS der Domain. Falls kein CAA-Record für eine Domain gesetzt ist, prüft die CA das DNS weiter auf höheren Ebenen, bis sie die Top-Level-Domain erreicht. Denn CAA-Records werden vererbt und gelten auch für Subdomains, sofern dort kein eigener Eintrag hinterlegt ist.

Ist die ausstellende CA im CAA-Record genannt, kann sie das Zertifikat erfolgreich ausstellen. Sollte sie dort nicht genannt sein, ist sie nicht berechtigt, das Zertifikat auszustellen, und muss den Zertifikatsantrag ablehnen.  

Die Anzahl von CAA-Records im DNS ist nicht beschränkt. Es können also mehrere CAA-Einträge hinterlegt und damit mehrere Zertifizierungsstellen berechtigt werden, Zertifikate auszustellen.

Welche Rolle spielen Zertifizierungsstellen?

Eine Zertifizierungsstelle (CA) ist eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt. Solch ein SSL-Zertifikat bestätigt dabei die Identität einer Domain und ist vergleichbar mit einem Personalausweis.

Bei der Ausstellung des SSL-Zertifikats prüft die Zertifizierungsstelle verschiedene Aspekte, um die Identität der Domain zu prüfen. Zum Beispiel wird sichergestellt, dass die angegebene Person tatsächlich technischen Zugang zur Domain hat.

Da erst einmal grundsätzlich jede Zertifizierungsstelle befugt ist, Zertifikate für Domains auszustellen, wird der CAA-Record relevant. Dieser ermöglicht es, gezielt eine CA auszuwählen und nur sie zur Ausstellung von Zertifikaten zu befugen. So können falsch ausgestellte Zertifikate verhindert werden.

Seit September 2017 sind Zertifizierungsstellen verpflichtet, CAA-Record zu prüfen und zu beachten, bevor sie ein Zertifikat ausstellen.

CAA-Record im Kontext von E-Mail-Zertifikaten

Neben SSL-Zertifikaten, die eine Domain verifizieren, gibt es auch S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extension), die E-Mail-Adressen verifizieren. Diese bieten eine Authentifizierung des Absenders, sichern die Nachrichtenintegrität und schützen vor unbefugtem Zugriff auf die E-Mails. 

Auch diese Zertifikate werden von einer Zertifizierungsstelle ausgestellt. Darum wurde der CAA-Record um den Property-Tag issuemail erweitert, sodass nun auch CAs für Mail-Zertifikate explizit berechtigt werden können. Dies ist in dem Internetstandard RFC 9495 festgehalten.

Mit dieser Erweiterung können Zertifizierungsstellen für E-Mail-Zertifikate autorisiert werden, um sicherzustellen, dass auch E-Mail-Zertifikate nur von berechtigten CAs ausgestellt werden. Dies erhöht die Sicherheit der E-Mail-Kommunikation, beugt Phishing-Angriffen vor und verringert die Gefahr von Hackerangriffen.

CAA-Record prüfen und richtig einsetzen

Auch wenn CAA-Records nicht zwingend erforderlich sind, bieten sie zusätzliche Kontrolle und Sicherheit. Daher sollte jede Domain, der ein Zertifikat ausgestellt wird, auch CAA-Records enthalten. Mit dem CAA-Record hat man die volle Kontrolle darüber, wer Zertifikate für die Domain ausstellen darf. So kann das Risiko von beabsichtigten oder unbeabsichtigten Falschaustellungen von Zertifikaten verringert werden.

Wichtig ist zu beachten, dass ein CAA-Record immer nur eine Art von Zertifizierungsstelle berechtigt. Das bedeutet, wenn nur ein Record für SSL-Zertifikate gesetzt ist, können weiterhin alle Zertifizierungsstellen S/MIME-Zertifikate ausstellen. Im Idealfall enthält jede Domain daher mindestens zwei Einträge – einen für SSL-Zertifikate und einen für E-Mail-Zertifikate.

Um zu prüfen, ob zu einer Domain bereits ein CAA-Record hinterlegt ist, gibt es verschiedene Tools:

• dnsspy.io
• caatest.co.uk
• digwebinterface.com

Um einen CAA-Eintrag zu setzen, muss der Hoster oder Registrar diese Einstellung unterstützen. Heutzutage sollte dies aber bei den meisten Anbietern der Fall sein.

Bei INWX kannst Du Deinen CAA-Eintrag aber ganz einfach selbst setzen. Wie das geht, erfährst Du hier.