So weit, so gut. Jedoch kann grundsätzlich jede Zertifizierungsstelle (CA) ein Zertifikat für eine Domain ausstellen. Dieser Aspekt wird in Verbindung mit der SSL-Sicherheit immer häufiger als Sicherheitsproblem benannt. Auch wenn bei den CA’s selbstverständlich nicht von böswilligen Absichten ausgegangen wird, gibt es bislang keine technischen Kontrollen. Es wäre also denkbar, dass Cyberkriminelle eine mögliche Schwachstelle bei einer CA ausnutzen um somit an ein Zertifikat für eine fremde Domain zu gelangen. Mit dem Zertifikat hätte der Angreifer eine Möglichkeit sich für Ihre Webseite auszugeben.
CAA soll diese Lücke schließen. Als Domaininhaber legen Sie mit Hilfe des CAA-Records in der DNS fest, welche CA ein Zertifikat für die Domain ausstellen darf. Damit stellen Sie sicher, dass keine andere CA – durch einen Fehler – ein Zertifikat für Ihre Domain ausstellt.
Diese Regelung ist in den „ Baseline Requirements“ festgelegt und wird im September 2017 wirksam. Spätestens dann dürfen Zertifikate nur ausgestellt werden, wenn die auszustellende CA als CAA in der DNS angegeben ist. Mit anderen Worten: Sie als Domaininhaber legen fest, welches Zertifikat für Ihre Domain ausgestellt werden darf. Ist kein CAA Record angelegt, kann das Zertifikat von jeder CA ausgestellt werden.
Hilfe zum Anlegen des CAA-Records erhalten Sie in unserem Wiki unter folgenden Link:
Wird die auch von den Web-Browsern überprüft?
Hallo Stefan,
uns ist aktuell nicht bekannt in welchem Umfang die Überprüfung von Browsern durchgeführt wird. CAA ist in erster Linie nicht dafür entworfen.
VG
Wassili