Ok, ich antworte mir mal selber: ich hab das "mandatory" offenbar falsch interpretiert. Die CAs müssen seit 09.2017 den Eintrag prüfen (und ggf. das Ausstellen verhindern, wenn der Eintrag vorhanden und sie nicht gelistet sind), aber ein nicht gesetzter CAA-Record ist gleichbedeutend mit "alle CAs dürfen Zertifikate ausstellen" und damit kein Problem.
Nichtsdestotrotz ist CAA ein zumindest interessantes Feature, daß man eventuell gerne haben möchte.
Gibt es diesbezüglich Pläne seitens DF?

Hallo MartinK,

das Thema „CAA-Records“ sorgte Anfang 3. Quartal 2017 für einigen Wirbel, da dort solche Records eingeführt wurden und leider zahlreiche Missverständnisse entstanden. Gerne daher etwas Erklärung für unbedarftere Leser.

CAA-Records sind Einträge im DNS (so wie Einträge des Mailservers [sog. „MX-Records“] oder des Webserver [sog. „A-Records“]), die zu einer bestimmten Domain gehören.

Auf diese Einträge hat normalerweise nur derjenige Zugriff, der eine Domain verwaltet.

Bereits 2013 wurde überlegt, mit sogenannten CAA-Records Domains besser vor unberechtigt ausgestellten SSL-Zertifikaten zu schützen. Existiert zu einer Domain z. B. ein CAA-Records mit beispielsweise „Starfield Technologies“, darf nur Starfield Technologies SSL-Zertifikate dafür ausstellen.

Geregelt ist dies in RFC 6844, wie schon gesagt wurde (https://tools.ietf.org/html/rfc6844)

Diejenige Institution, die in unserem Auftrag SSL-Zertifikate für unsere Kunden ausstellt (Starfield Technologies), muss nun zwingend überprüfen, ob für die jeweilige Domain ein CAA-Record im DNS existiert. Existiert einer, darf sie SSL-Zertifikate nur noch ausstellen, wenn darin eben diese Certificate Authority genannt ist. Ansonsten oder wenn der DNS-Eintrag gar nicht erreicht werden kann (also diese Prüfung nicht erfolgen kann), darf das Zertifikat nicht ausgestellt werden.
Das ist die eine Seite der Geschichte. Unsere SSL-Partner haben dies zeitnah umgesetzt damals.

Auf der anderen Seite gibt es natürlich noch uns als Domain- und DNS-Anbieter. Dort könnten wir Ihnen als unsere Kunden die Möglichkeit einräumen, CAA-Records zu setzen, um Ihre Domains vor Zertifikaten von nicht freigegebenen CAAs zu schützen. Wir machen dies derzeit nicht und es bestehen auch keine Planungen in diese Richtung. Auch international gibt es bislang nur wenige Hoster, die das Setzen von CAA-Records anbieten.

Derzeit gibt es keine juristische Verpflichtung, CAA-Records zu setzen, sondern es handelt sich nur um eine Möglichkeit, eigene Domains auf bestimmte Certificate Authorities als SSL-Aussteller zu beschränken.

Mit freundlichen Grüßen

Nils Dornblut

Ist das so? Ich habe es nicht nachrecherchiert, aber alle drei von mir genutzten Hoster (einer für Domains, einer für Webserver, einer für E-Mail-Hosting) bieten es an. Zufall?

Gruß
Jan

Na ja, bist halt jetzt bei den Guten ...

Grüße
fp

So meinte ich das gar nicht mal. Aber wenn's wenige geben sollte, wäre eine Ausbeute von drei von drei schon ziemlich erstaunlich.

Gruß
Jan

Ich kenne weder Deine Hoster noch deren Größe. Es ist natürlich auch möglich, dass meine Informationen falsch oder veraltet sind. Nutzt Du solche Einträge denn bisher?

Viele Grüße

Nils

2 der 3 großen Mitbewerber bieten das an, mein neuer Lieblingshoster aus dem mittleren Segment auch.
Ich denke "wenige" ist da nicht so ganz korrekt...
Es gibt sicher andere, wichtigere Baustellen.
Na dann: frisch ans Werk 😂

Ich denke, das stimmt so nicht: Wenn ein CAA existiert und den Wert ";" (Strichpunkt) hat, darf von keiner CA ein Zertifikat ausgestellt werden. Wenn zu einer Domain gar kein CAA-Record existiert, darf jede beliebige CA ein Zertifikat für diese Domain ausstellen.

Andernfalls könnte ja Starfield Technologies für df-Kunden (deren Domains ja keine CAA-Records haben), keine Zertifikate ausstellen...

Kein Zufall, 3 von 4 meiner Anbieter bieten es auch. Anbieter Nummer 4 ist DF.

Nicht flächendeckend, aber für ein paar wichtige Domains (bei denen die verarbeiteten Daten besonders schützenswert sind) schon.

Gruß
Jan

Hi,

gibt es hierzu denn seit Januar ein Update? Ich würde das Feature auch gerne nutzen.

Vielen herzlichen Dank und freundliche Grüße
Axel

Hallo Axel,

leider gibt es keine Neuigkeiten dazu.

Mit freundlichen Grüßen

Nils Dornblut

Mit anderen Worten: ist euch nicht so wichtig, auch wenn es eine Empfehlung ist. Siehe z.B. Qualys SSL Labs. Guten Service nennt ihr das aber nicht, oder?

Na ja, Empfehlungen für die ideale Welt mit unbeschränkt verfügbaren Ressourcen gibt es sicher viele. Wie ist den Ihr konkretes Szenario wie Sie einen Angriff in Ihrem Fall befürchten, was jetzt nicht abgedeckt ist?

Aktuell denken wir, dass es wichtigere Punkte gibt, wo wir mit den zur Verfügung stehenden Ressourcen mehr an Sicherheit erreichen können als in dem Punkt.

Mit freundlichen Grüßen

Nils Dornblut