CAA-Einträge für S/MIME-Zertifikate werden ab September 2024 geprüft
Ab September 2024 werden CAA-Einträge im Domain Name System (DNS) auch bei der Ausstellung von S/MIME-Zertifikaten geprüft. Bisher geschah dies nur bei der Ausstellung von SSL/TLS-Zertifikaten.
Was bedeutet CAA?
DNS Certification Authority Authorization (CAA) ist ein Sicherheitsmechanismus im Domain Name System (DNS), der die Ausstellung von SSL/TLS- sowie S/MIME-Zertifikaten steuert. Mit CAA-Einträgen können Domäneninhaber festlegen, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für ihre Domäne auszustellen. Dadurch wird das Risiko verringert, dass eine nicht autorisierte CA ein Zertifikat für die Domäne ausstellt, was zu Sicherheitsproblemen führen könnte. Die Prüfung der CAA-Einträge basiert auf den Vorgaben der RFC 9495.
Wie funktioniert die CAA-Prüfung?
Zuerst erstellt der Domäneninhaber einen oder mehrere CAA-Einträge in der DNS-Zone seiner Domäne. Ist dies geschehen, kann der Domäneninhaber bei einer CA ein SSL/TLS- oder S/MIME-Zertifikat für seine Domäne beantragen. Bevor die CA ein Zertifikat ausstellt, muss sie den CAA-Eintrag der Domäne abfragen. Dies geschieht durch eine DNS-Abfrage des CAA-Eintrags für die Domäne. Ist die CA im CAA-Eintrag als autorisiert gelistet, fährt sie mit der Ausstellung der Zertifikate fort. Ist dies nicht der Fall, lehnt sie die Ausstellung ab und meldet gegebenenfalls einen Vorfall.
Ein typischer CAA-Eintrag hat das folgende Format:
example.com CAA 0 issuemail "ca.example"
- example.com: Die Domäne, für die der CAA-Eintrag gilt.
- 0: Flags (in der Regel 0, kann aber in besonderen Fällen anders sein).
- issuemail: Gibt an, welche CA berechtigt ist, ein Zertifikat auszustellen.
- “ca.example”: Der Name der CA, die autorisiert ist.
Was bedeutet die CAA-Prüfung für mich?
Diese für September 2024 geplante Änderung hat keinen Einfluss auf bestehende S/MIME-Zertifikate. Hat jedoch eine Domäne einen oder mehrere CAA-Einträge mit dem Property Tag “issuemail”, aber keiner dieser Einträge die von Ihnen genutzte CA als autorisierten Aussteller gelistet, können für diese Domäne (oder Subdomäne) keine neuen S/MIME-Zertifikate ausgestellt werden.
Falls Sie einen CAA-Eintrag im DNS angelegt haben, muss dieser CAA-Eintrag die von Ihnen genutzte CA als autorisierten Aussteller enthalten.
Aktuellste NoSpamProxy-Version im Einsatz?
Auf unserer Download-Seite finden Sie jederzeit die aktuellsten Versionen von NoSpamProxy Server. Führen Sie jetzt ein Update durch und profitieren Sie von höchster E-Mail-Sicherheit sowie den neuesten Funktionen.