Ankündigung

Einklappen
Keine Ankündigung bisher.

RFC6844 - CAA

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    RFC6844 - CAA

    Hallo in die Runde,

    mal eine Frage zu RFC6844 / CAA-records. Soweit ich verstanden habe sind diese ja seit längerem (09.2017) verpflichtend.

    Wir betreiben einen eigenen Webserver auf einer Subdomain unserer bei Domainfactory gehosteten Domain. Die Maschine hat entsprechend in den Nameserver-Einstellungen im Kundenmenü einen A-Record erhalten.
    Nun gibts das Problem, daß das aktuell verwendete SSL-Zertifikat aus dem April 2017 stammt und demnächst auslaufen wird.

    Ich wollte also für die verwendete Subdomain einen CAA-Record anlegen, das ist aber übers Kundenmenü soweit ich sehe nicht möglich?
    Kann das sein, bzw. was ist hier die empfohlene Vorgehensweise?
    Mich wundert, daß das bisher offenbar noch kein Thema gewesen ist, zumindest finde ich weder hier noch in den FAQs von Domainfactory etwas dazu.
    Oder habe ich etwas triviales übersehen und CAA ist nicht verpflichtend, sprich ich kann mein neues Cert auch ohne CAA-Record ausstellen lassen?

    Grüße, Martin

    #2
    Ok, ich antworte mir mal selber: ich hab das "mandatory" offenbar falsch interpretiert. Die CAs müssen seit 09.2017 den Eintrag prüfen (und ggf. das Ausstellen verhindern, wenn der Eintrag vorhanden und sie nicht gelistet sind), aber ein nicht gesetzter CAA-Record ist gleichbedeutend mit "alle CAs dürfen Zertifikate ausstellen" und damit kein Problem.
    Nichtsdestotrotz ist CAA ein zumindest interessantes Feature, daß man eventuell gerne haben möchte.
    Gibt es diesbezüglich Pläne seitens DF?

    Kommentar


      #3
      Hallo MartinK,

      das Thema „CAA-Records“ sorgte Anfang 3. Quartal 2017 für einigen Wirbel, da dort solche Records eingeführt wurden und leider zahlreiche Missverständnisse entstanden. Gerne daher etwas Erklärung für unbedarftere Leser.

      CAA-Records sind Einträge im DNS (so wie Einträge des Mailservers [sog. „MX-Records“] oder des Webserver [sog. „A-Records“]), die zu einer bestimmten Domain gehören.

      Auf diese Einträge hat normalerweise nur derjenige Zugriff, der eine Domain verwaltet.

      Bereits 2013 wurde überlegt, mit sogenannten CAA-Records Domains besser vor unberechtigt ausgestellten SSL-Zertifikaten zu schützen. Existiert zu einer Domain z. B. ein CAA-Records mit beispielsweise „Starfield Technologies“, darf nur Starfield Technologies SSL-Zertifikate dafür ausstellen.

      Geregelt ist dies in RFC 6844, wie schon gesagt wurde (https://tools.ietf.org/html/rfc6844)

      Diejenige Institution, die in unserem Auftrag SSL-Zertifikate für unsere Kunden ausstellt (Starfield Technologies), muss nun zwingend überprüfen, ob für die jeweilige Domain ein CAA-Record im DNS existiert. Existiert einer, darf sie SSL-Zertifikate nur noch ausstellen, wenn darin eben diese Certificate Authority genannt ist. Ansonsten oder wenn der DNS-Eintrag gar nicht erreicht werden kann (also diese Prüfung nicht erfolgen kann), darf das Zertifikat nicht ausgestellt werden.
      Das ist die eine Seite der Geschichte. Unsere SSL-Partner haben dies zeitnah umgesetzt damals.

      Auf der anderen Seite gibt es natürlich noch uns als Domain- und DNS-Anbieter. Dort könnten wir Ihnen als unsere Kunden die Möglichkeit einräumen, CAA-Records zu setzen, um Ihre Domains vor Zertifikaten von nicht freigegebenen CAAs zu schützen. Wir machen dies derzeit nicht und es bestehen auch keine Planungen in diese Richtung. Auch international gibt es bislang nur wenige Hoster, die das Setzen von CAA-Records anbieten.

      Derzeit gibt es keine juristische Verpflichtung, CAA-Records zu setzen, sondern es handelt sich nur um eine Möglichkeit, eigene Domains auf bestimmte Certificate Authorities als SSL-Aussteller zu beschränken.

      Mit freundlichen Grüßen

      Nils Dornblut
      Blog - Facebook - Twitter
      Communitybetreiber: domainfactory GmbH
      Impressum / Pflichtangaben

      Kommentar


        #4
        Zitat von Nils Dornblut Beitrag anzeigen
        Auch international gibt es bislang nur wenige Hoster, die das Setzen von CAA-Records anbieten.
        Ist das so? Ich habe es nicht nachrecherchiert, aber alle drei von mir genutzten Hoster (einer für Domains, einer für Webserver, einer für E-Mail-Hosting) bieten es an. Zufall?

        Gruß
        Jan
        Two hours of trial and error can save ten minutes of manual reading.

        Kommentar


          #5
          Zitat von Enigma Beitrag anzeigen
          aber alle drei von mir genutzten Hoster (einer für Domains, einer für Webserver, einer für E-Mail-Hosting) bieten es an. Zufall?
          Na ja, bist halt jetzt bei den Guten ...

          Grüße
          fp
          2002: RP10 > 2011: RS XL4 > 2019: DomainManager

          Kommentar


            #6
            Zitat von fpielage Beitrag anzeigen
            Na ja, bist halt jetzt bei den Guten ...
            So meinte ich das gar nicht mal. Aber wenn's wenige geben sollte, wäre eine Ausbeute von drei von drei schon ziemlich erstaunlich.

            Gruß
            Jan
            Two hours of trial and error can save ten minutes of manual reading.

            Kommentar


              #7
              Zitat von Enigma Beitrag anzeigen

              Ist das so? Ich habe es nicht nachrecherchiert, aber alle drei von mir genutzten Hoster (einer für Domains, einer für Webserver, einer für E-Mail-Hosting) bieten es an. Zufall?
              Ich kenne weder Deine Hoster noch deren Größe. Es ist natürlich auch möglich, dass meine Informationen falsch oder veraltet sind. Nutzt Du solche Einträge denn bisher?

              Viele Grüße

              Nils

              Blog - Facebook - Twitter
              Communitybetreiber: domainfactory GmbH
              Impressum / Pflichtangaben

              Kommentar


                #8
                Zitat von Nils Dornblut Beitrag anzeigen
                Auch international gibt es bislang nur wenige Hoster, die das Setzen von CAA-Records anbieten.
                2 der 3 großen Mitbewerber bieten das an, mein neuer Lieblingshoster aus dem mittleren Segment auch.
                Ich denke "wenige" ist da nicht so ganz korrekt...
                Zitat von Nils Dornblut Beitrag anzeigen
                ... Nutzt Du solche Einträge denn bisher?
                Es gibt sicher andere, wichtigere Baustellen.
                Na dann: frisch ans Werk 😂

                Kommentar


                  #9
                  Zitat von Nils Dornblut Beitrag anzeigen
                  Ansonsten oder wenn der DNS-Eintrag gar nicht erreicht werden kann (also diese Prüfung nicht erfolgen kann), darf das Zertifikat nicht ausgestellt werden.
                  Ich denke, das stimmt so nicht: Wenn ein CAA existiert und den Wert ";" (Strichpunkt) hat, darf von keiner CA ein Zertifikat ausgestellt werden. Wenn zu einer Domain gar kein CAA-Record existiert, darf jede beliebige CA ein Zertifikat für diese Domain ausstellen.

                  Andernfalls könnte ja Starfield Technologies für df-Kunden (deren Domains ja keine CAA-Records haben), keine Zertifikate ausstellen...

                  Kommentar


                    #10
                    Zitat von Enigma Beitrag anzeigen
                    Ist das so? Ich habe es nicht nachrecherchiert, aber alle drei von mir genutzten Hoster (einer für Domains, einer für Webserver, einer für E-Mail-Hosting) bieten es an. Zufall?
                    Kein Zufall, 3 von 4 meiner Anbieter bieten es auch. Anbieter Nummer 4 ist DF.
                    Zuletzt geändert von wecotec; 28.01.2020, 11:47.
                    Markus
                    ---
                    https://www.facebook.com/markus.weber.180410

                    Kommentar


                      #11
                      Zitat von Nils Dornblut Beitrag anzeigen
                      Nutzt Du solche Einträge denn bisher?
                      Nicht flächendeckend, aber für ein paar wichtige Domains (bei denen die verarbeiteten Daten besonders schützenswert sind) schon.

                      Gruß
                      Jan
                      Two hours of trial and error can save ten minutes of manual reading.

                      Kommentar

                      Lädt...
                      X