DNS-CAA-Ressourcen-Eintragsprüfung

Zertifzierungsstellen prüfen die CAA-Resource Records vor Ausstellung eines Zertifikats

Bevor eine ZS (Zertifizierungsstelle) ein SSL/TLS-Zertifikat für Ihre Domäne ausstellen kann, muss sie prüfen, verarbeiten und die Domänen-DNS-CAA-Records (RRs) beachten. (Siehe Abstimmung 125 – CAA-Records [BESTÄTIGT], RFC 6844, und Abstimmung 219: Klärung von CAA Record Sets ohne "issue"/"issuewild"-Eigenschafts-Tag.

Ein CAA-Ressourceneintrag ist für DigiCert zur Ausstellung von SSL/TLS-Zertifikaten für Ihre Domänen NICHT ERFORDERLICH. Die hier bereitgestellten Informationen sind nur dann wichtig, wenn sie in einer der folgenden Situationen sind:

  • Sie haben bereits CAA-Ressourceneinträge für Ihre Domänen eingerichtet.
  • Sie möchten CAA-Ressourceneinträge für Ihre Domänen hinzufügen.

Weitere Informationen über die Vorteile von CAA, siehe Die Sicherheitsgewinne durch CAA.

So funktioniert der CAA-RR-Prozess

Vor der Ausstellung eines SSL/TLS-Zertifikats für Ihre Domäne überprüft die Zertifizierungsstelle die CAA-RRs, um festzustellen, ob sie ein Zertifikat für Ihre Domäne ausstellen darf. Eine Zertifizierungsstelle darf ein Zertifikat für eine Domäne ausstellen, wenn eine der folgenden Bedingungen erfüllt ist:

  • Sie findet keinen CAA-RR für Ihre Domäne.
  • Sie findet einen CAA-RR für Ihre Domäne, der sie berechtigt, diesen Zertifikatstyp für Sie auszustellen.
  • Sie findet nur CAA RRs ohne "issue" oder "issuewild"-Eigenschafts-Tags für Ihre Domäne.

Leistung eines einzelnen CAA RR

Nachdem Sie einen CAA-Ressourceneintrag (RR) erstellt haben, um DigiCert zu autorisieren, SSL/TLS-Zertifikate für eine Domäne auszustellen, haben Sie alle anderen Zertifizierungsstellen (ZS) von der Ausstellung eines Zertifikats für diese Domäne effektiv ausgeschlossen. Der einzige Weg, eine andere ZS zu autorisieren, Zertifikate für diese Domäne auszustellen, ist das Erstellen einer weiteren CAA RR für diese ZS.

Falls es für die Domäne keinen CAA RR gibt, kann jede ZS alle Arten von SSL/TLS-Zertifikate für diese Domäne ausstellen.

Falls Sie einen CAA-RR für die Domäne haben, bedeutet dies, dass eine ZS einen CAA-RR finden muss, der sie berechtigt, ein SSL/TLS-Zertifikat für die Domäne auszustellen. Bei der Erstellung ihres ersten CAA RR für eine Domäne sollte Ihnen klar sein, dass Sie nun genügend Richtlinien für diese Domäne erzeugen müssen, um die SSL/TLS-Zerifikatsanforderungen Ihrer Organisation zu unterstützen.

Auf diese Weise gewährleisten CAA-Ressourceneinträge eine präzise Kontrolle über die Ausstellung von Zertifikaten für die Domäne. Mit dieser Kontrolle können Sie verhindern, dass nicht autorisierte Zertifizierungsstellen Zertifikate für Ihre Domäne ausstellen.

ZS-Berechtigung für DigiCert-, Symantec-, Thawte- GeoTrust- RapidSSL-Markenzertifikate

Mit der Übernahme von Symantec Website Security und damit verknüpfter PKI-Lösungen , brachte DigiCert die führenden Zertifikatsmarken unter eine Zertifizierungsstelle – DigiCert. Wenn Sie einen CAA RR für yourdomain.com erstellen und DigiCert autorisieren, SSL/TLS-Zertifikate dafür auszustellen (yourdomain CAA 0 issue "digicert.com"), autorisieren Sie DigiCert, für diese Domäne SSL/TLS-Markenzertifikate von DigiCert, Symantec, Thawte, GeoTrust und RapidSSL auszustellen.

Dasselbe gilt, wenn Sie einen CAA RR erstellen und Symantec autorisieren, SSL/TLS-Zertifikate für yourdomain.com auszustellen (yourdomain CAA 0 issue "symantec.com"). Dieser einzelne Eintrag befähigt DigiCert für diese Domäne SSL/TLS-Markenzertifikate von DigiCert, Symantec, Thawte GeoTrust und RapidSSL auszustellen.

Gültige CAA-Ressourceneintragswerte

Im Folgenden sind gültige CAA-RR-Werte aufgeführt, die Sie derzeit in Ihren CAA-Einträgen können, um DigiCert zu autorisieren, Ihr SSL/TLS-Zertifikat auszustellen.

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

Alle aufgeführten Werte sind gleichwertig. In anderen Worten, Sie können jeden der Werte verwenden, um zu erlauben, dass DigiCert SSL/TLS-Zertifikate für alle DigiCert-Marken, -Portale, -Produkte usw. ausstellt.

Prüfen, ob Ihre CAA-RRs ordnungsgemäß konfiguriert sind

Verfügen Sie bereits über DNS-CAA-RRs oder planen Sie, DNS-CAA-RRs für Ihre Domänen zu erstellen? Es ist wichtig, sicherzustellen, dass Ihre Einträge aktuell und präzise sind.

DigiCert empfiehlt, Ihre bestehenden DNS-CAA-RRs für Ihre Domänen zu prüfen, bevor Sie SSL/TLS-Zertifikate für sie bestellen. Stellen Sie sicher, dass Sie über die erforderlichen Einträge für jede ZS haben, die berechtigt zur Ausstellung von SSL/TLS-Zertifikate für Ihre Domänen ist. Es ist empfehlenswert, dass diejenigen, die neue DNS-CAA-RRs erstellen, wissen, wie der Prozess funktioniert. Lassen Sie nicht zu, dass eine falsch konfigurierte CAA-RR versehentlich eine ZS daran hindert, ein dringend benötigtes Zertifikat auszustellen.

Siehe So bearbeiten Sie eine DNS-CAA-RR für DigiCert-Zertifikatsmarken.

Was ist ein DNS-CAA-Ressourceneintrag?

CAA (Certification Authority Authorization) RRs (Ressource Records) ermöglichen Domänenbesitzern, Richtlinien zu erstellen, die bestimmte Zertifizierungsstellen (Certificate Authorities, CAs) zur Ausstellung von SSL-Zertifikaten für ihre assoziierten Domänen autorisieren. Domänenbesitzer können mit CAA-RRs Sicherheitsrichtlinien für eine gesamte Domäne (z. B. example.com) oder für einen bestimmten Hostnamen (z. B. die mail.example.com) erstellen.

Bei der Erstellung eines CAA-RR für Ihre Basisdomäne, erstellen Sie im Wesentlichen eine Schirmrichtlinie für ihre Unterdomänen, es sei denn, Sie erstellen einen separaten CAA-RR für eine bestimmte Unterdomäne. Sie haben einen CAA-RR-Eintrag für example.com, möchten jedoch eine andere Sicherheitsrichtlinie für mail.example.com erstellen? Erstellen Sie einen zusätzlichen CAA-RR, speziell für die Mail-Unterdomäne.

Wenn Sie nach Erstellung dieses Eintrags ein SSL/TLS-Zertifikat für mail.example.com bestellen, fragt die ZS Ihr DNS, ob es CAA-RRs für diese Unterdomäne gibt. Falls die ZS einen Eintrag für mail.example.com findet, endet die Suche und diese Richtlinie wird auf den Zertifikatsauftrag angewendet. Falls die ZS keinen Eintrag für mail.example.com findet, wendet sie sich mit der DNS-Abfrage nach CAA-RRs an die übergeordnete Domäne example.com. Falls die ZS einen Eintrag für example.com findet, wendet sie die Richtlinie der übergeordneten Domäne auf den Zertifikatsauftrag für mail.example.com an.

DNS-CAA-RR-Syntax

Ein CAA-Ressourceneintrag (RR) besteht aus einem Flag aus einem einzelnen Byte und einem Paar Tag-Werte, das als Eigenschaft bezeichnet wird (RFC 6844, Abschnitte 3, 5.1). Das Flag ist eine nicht zugewiesene Ganzzahl zwischen 0 und 255. Das Tag in dem Tag-Wertepaar kann aus US-ASCII-Buchstaben und Zahlen bestehen, während der Wert ein Octet-String (Zeichenfolge) ist, der den Wert der Tag-Werteigenschaft ist.

CAA-RR-Eigenschafts-Tags

Sie können mehrere Eigenschaften mit derselben Domäne verknüpfen, indem Sie mehrere CAA-RRs für diesen Domänennamen veröffentlichen. Jeder CAA-RR kann jedoch nur eine Zertifizierungsstelle für die Ausgabe von Zertifikaten (oder in einigen Fällen nur einen Zertifikatstyp) für Ihre Domäne autorisieren.

Um mehreren ZS die Ausstellung von Zertifikaten für Ihre Domäne zu erlauben, müssen Sie mindestens einen CAA-RR (und in einigen Fällen zwei CAA-RRs) für jede ZS erstellen. Hilfe zur Einrichtung Ihrer CAA-RRs finden Sie in Hilfe bei CAA-Einträgen.

"Problem" Eigenschafts-Tag

Verwenden Sie dieses Eigenschafts-Tag, um eine ZS (wie DigiCert) zu autorisieren, nur Wildcard-Zertifikate für eine Domäne auszustellen. Bei der Verarbeitung eines Wildcard-Zertifikatsauftrags für *.yourdomain, befragt die ZS das DNS der Domäne nach CAA RRs, die das "issuewild"-Eigenschafts-Tag enthalten. Falls die ZS ein "issuewild"-Eigenschafts-Tag findet, werden alle CAA RRs mit dem "issue"-Eigenschafts-Tag für diese Domäne ignoriert. Um andere ZS zu autorisieren, nur Wildcard-Zertifikate für dieselbe Domäne auszustellen, müssen Sie einen eindeutigen CAA-RR für jede ZS erstellen.

generic
yourdomain CAA 0 issuewild "digicert.com"

Wie das"issuewild" Eigenschafts-Tag funktioniert

Das "issuewild"-Eigenschafts-Tag autorisiert eine ZS, nur Wildcard-Zertifikate für eine Domäne (*.domain.com, *.sub.domain.com, *.sub.sub.domain.com usw.) auszustellen. Es gestattet nicht, dass eine Zertifizierungsstelle Nicht-Wildcard-Zertifikate für eine Domäne (domain.com, sub.domain.com, sub.sub.domain.com, usw.) ausstellt.

Verwendung des"issuewild" Eigenschafts-Tags

Bei einer geeigneten Verwendung kann das "issuewild"-Eigenschafts-Tag ein wirksames Tool für die Erstellung von Ausstellungsrichtlinien für Wildcard-Zertifikate sein.

Angenommen, Sie erstellen drei "issue"-CAA RRs für yourdomain. Später entscheiden Sie, dass nur eine dieser ZS Wildcard-Zertifikate für yourdomain ausstellen soll. Also erstellen Sie einen "issuewild"-CAA RR, der diese ZS autorisiert, *.yourdomain-Wildcard-Zertifikate auszustellen. Alle drei ZS können weiterhin Nicht-Wildcard-Zertifikate für yourdomain ausstellen, aber nun kann nur eine ZS Wildcard-Zertifikate dafür ausstellen.

DigiCert autorisieren, Wildcard-Zertifikate für eine Domäne auszustellen

Wenn Sie ein Wildcard-Zertifikat für *.yourdomäne bestellen, bezieht DigiCert yourdomain ohne zusätzliche Kosten in das Zertifikat mit ein. Dadurch ergibt sich ein Problem, falls Sie "issuewild"-CAA RRs (yourdomain CAA 0 issuewild "digicert.com") erstellen, um DigiCert zu autorisieren, nur Wildcard-Zertifikate for Ihre Basis- und Unterdomänen auszustellen.

Da wir yourdomain (oder mail.yourdomain) in Ihren Wildcard-Zertifikatsauftrag für *.yourdomain (oder *.mail.yourdomain) einbeziehen, müssen Sie eine der angebotenen Optionen auswählen, damit wir Ihr Wildcard-Zertifikat für Sie ausstellen können.

  1. Erstellen eines “issue”-CAA-RR für DigiCert

    Tun Sie dies nur, falls Sie einen spezifischen Grund haben, einen "issuewild"-CAA RR für yourdomain zu erstellen. "issue"-CAA RRs nur zu verwalten, ist wesentlich einfacher:

generic
yourdomain CAA 0 issue "digicert.com"
  1. Erstellen eines “issue”-CAA-RR und eines “issuewild” für DigiCert

    Falls die Richtlinien Ihrer Organisation es erlauben, und Sie “issuewild-” CAA-RRs für yourdomain.com erstellen müssen, benötigen Sie zwei Regeln:

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. Wenden Sie sich an uns

    Falls die Richtlinien Ihrer Organisation verhindern, dass Sie DigiCert autorisieren, Nicht-Wildcard Zertifikate für Ihre Domäne auszustellen, wenden Sie sich an uns., Wir werden mit Ihnen zusammen an einer Lösung arbeiten, damit wir Ihr Wildcard-Zertifikat ausstellen können.

Falsche Verwendung der"issuewild" -EIgenschaft

Bei unvorschriftsmäßiger Verwendung kann die "issuewild"-Eigenschaft ZS von der Ausstellung dringend benötigter Zertifikate aussperren. Bei der Verarbeitung von Zertifikatsaufträgen ignorieren ZS alle CAA-RRs mit dem "issuewild"-Eigenschafts-Tag, außer (1) die ZS verarbeitet einen Auftrag für ein Wildcard-Zertifikat oder (2) ein "issuewild"-Tag ist der einzige CAA-RR für die Domäne.

  1. ZS verarbeitet einen Auftrag für ein Wildcard-Zertifikat

    Wenn Sie einen einzelnen "issuewild"-Eintrag für Ihre Domäne (yourdomain CAA 0 issuewild "digicert.com") erstellen, schließen Sie alle anderen ZS ohne einen "issuewild"-Eintrag von der Ausstellung eines Wildcard-Zertifikats für diese Domäne aus. Falls dies nicht Ihre Absicht war, als Sie diesen Eintrag erstellten, müsse Sie für jede ZS, die Sie autorisieren möchten, Wildcard-Zertifikate für yourdomain auszustellen, einen zusätzlichen "issuewild"-Eintrag erstellen.

  2. "issuewild"-CAA-RR – einziger Eintragstyp für die Domäne

    Falls Sie ein Nicht-Wildcard-Zertifikat für yourdomain bestellen, ignoriert die ZS alle "issuewild"-CAA-RRs für die Domäne, außer der "issuewild"-CAA-RR wird als einziger Eintragstyp gefunden. Falls dies der Fall ist, kann die ZS kein Nicht-Wildcard-Zertifikat für yourdomain ausstellen.

    Der wesentliche Grund CAA-RRs zu verwenden, besteht darin, Richtlinien zur Zertifikatsausstellung für eine Domäne zu erlassen. Wenn Sie einen einzelnen "issuewild"-Eintrag für Ihre Domäne (yourdomain CAA 0 issuewild "digicert.com") erstellen, ohne begleitende "issue"-Einträge, sagen Sie damit zwei Dinge:

    1. Sie autorisieren diese ZS (und nur diese ZS), Wildcard-Zertifikate für yourdomain auszustellen.
    2. Sie wollen, dass keine ZS Nicht-Wildcard-Zertifikate für yourdomain ausstellt.
      So funktionieren CAA-RRs und das sollte Ihre Absicht sein, wenn Sie nur "issuewild"-CAA-RRs für yourdomain.com erstellen.

    Wenn diesen ersten "issuewild"-CAA-RR für eine Domäne erstellen, müssen Sie sich darüber im Klaren sein, dass Sie, um fortzufahren, nun eine Richtlinie (CAA RR) für beide Arten der SSL/TLS-Zertifikatsautorisierung (Nicht-Wildcard und Wildcard) einrichten müssen.

Zusammenarbeit von CAA-RR und CNAME

Wenn Sie ein SSL/TLS-Zertifikat für eine Domäne beantragen (z. B. my.blog.example.com) die einen CNAME-Eintrag enthält, der auf eine andere Domäne verweist (z. B. my.blog.example.net), folgt die Zertifizierungsstelle (Certificate Authority, ZS) einem bestimmten Prozess (festgelegt in den Baseline-Anforderungen [BRs]), um ein CAA-RR zu finden, das sie autorisiert Ihr Zertifikat auszustellen.

CNAME-Ziele

Als vorbeugende Maßnahme gegen Angriffe zur Erschöpfung von Ressourcen muss eine ZS nur bis zu 8 CNAME-Zielen folgen (8 oder weniger CNAME-Einträge: blog.example.com ist ein CNAME für blog.example.net, ist ein CNAME für blog.example.org und so weiter 8 Ebenen tief).

Der Prozess beginnt bei dem Domänennamen auf dem Zertifikatsantrag und wird fortgeführt bis zur Domäne der obersten Ebene. Dieser Vorgang wird fortgeführt, bis an einem beliebigen Punkt CAA-RRs gefunden werden. Der CAA-RRs bestimmt dann, ob die ZS berechtigt ist, Ihr Zertifikat auszustellen.

Beispiel eines CAA-RR-Prüfungs-Workflows mit vorhandenem CNAME

Um das Diagramm zu vergrößern, klicken Sie hier.

Schritt 1: Die ZS überprüft die CAA-RRs für den Domänennamen auf dem Zertifikatsantrag – my.blog.example.com.

Falls die ZS einen CAA-Eintrag für die Domäne auf dem Zertifikatsantrag findet, endet die Suche. Die ZS prüft, ob es einen CAA-Eintrag gibt, der Sie berechtigt, Ihr Zertifikat auszustellen. Falls sie den Eintrag findet, stellt die ZS das Zertifikat aus. Anderenfalls darf die ZS das Zertifikat nicht ausstellen.

Falls die ZS keinen CAA-Eintrag für die Domäne auf dem Zertifikatsantrag findet, wird die Suche fortgesetzt.

Schritt 2: Die ZS prüft die CAA-RRs auf die CNAME-Zieldomäne – my.blog.example.net.

Falls die ZS einen CAA-Eintrag für die CNAME-Zieldomäne auf dem Zertifikatsantrag findet, endet die Suche. Die ZS prüft, ob es einen CAA-Eintrag gibt, der Sie berechtigt, Ihr Zertifikat auszustellen. Falls sie den Eintrag findet, stellt die ZS das Zertifikat aus. Anderenfalls darf die ZS das Zertifikat nicht ausstellen.

Falls die ZS keinen CAA-Eintrag für die CNAME-Zieldomäne auf dem Zertifikatsantrag findet, wird die Suche fortgesetzt.

Schritt 3: Die ZS prüft die CAA-RRs auf die der ursprünglichen Domäne übergeordnete Domäne – blog.example.com.

Falls die ZS einen CAA-Eintrag für die der ursprünglichen Domäne übergeordnete Domäne findet, endet die Suche. Die ZS prüft, ob es einen CAA-Eintrag gibt, der Sie berechtigt, Ihr Zertifikat auszustellen. Falls sie den Eintrag findet, stellt die ZS das Zertifikat aus. Anderenfalls darf die ZS das Zertifikat nicht ausstellen.

Falls die ZS keinen CAA-Eintrag für die der ursprünglichen Domäne übergeordnete Domäne findet, wird die Suche fortgesetzt.

Schritt 4: Die ZS prüft die CAA-RRs auf die Basisdomäne der ursprünglichen Domäne – example.com.

Falls die ZS einen CAA-Eintrag für die Basisdomäne der ursprünglichen Domäne findet, endet die Suche. Die ZS prüft, ob es einen CAA-Eintrag gibt, der Sie berechtigt, Ihr Zertifikat auszustellen. Falls sie den Eintrag findet, stellt die ZS das Zertifikat aus. Anderenfalls darf die ZS das Zertifikat nicht ausstellen.

Falls die ZS keinen CAA-Eintrag für die Basisdomäne der ursprünglichen Domäne findet, wird die Suche fortgesetzt.

Schritt 5: Die ZS prüft die CAA-RRs auf die Top-Level-Domäne der ursprünglichen Domäne – com.

Falls die ZS einen CAA-Eintrag für die Top-Level-Domäne der ursprünglichen Domäne findet, endet die Suche. Die ZS prüft, ob es einen CAA-Eintrag gibt, der Sie berechtigt, Ihr Zertifikat auszustellen. Falls sie den Eintrag findet, stellt die ZS das Zertifikat aus. Anderenfalls darf die ZS das Zertifikat nicht ausstellen.

Falls die ZS keinen CAA-Eintrag für die Top-Level-Domäne der ursprünglichen Domäne findet, stellt die ZS das Zertifikat aus.

Weitere Informationen: