Aktualisierung: DNS CAA-Ressourcenprüfung erforderlich im Jahr 2025
Home / Media / News / Aktualisierung: DNS CAA-Ressourcenprüfung erforderlich im Jahr 2025

Aktualisierung: DNS CAA-Ressourcenprüfung erforderlich im Jahr 2025
19 Mar ‘25

Aktualisierung: DNS CAA-Ressourcenprüfung erforderlich im Jahr 2025

Zertifizierungsstellen (CAs) wie DigiCert werden beginnen, CAA-Ressourcendatensätze zu überprüfen, bevor sie ein Secure Email (S/MIME) Zertifikat mit einer Mailbox-Adresse ausstellen. Dies ist ihre offizielle Ankündigung:

„Ab dem 13. März 2025 um 10:00 MDT (16:00 UTC) wird DigiCert die DNS-Zertifizierungsstellenautorisierung (CAA) Ihrer E-Mail-Domänen überprüfen, verarbeiten und sich daran halten, bevor DigiCert Ihre Secure Email (S/MIME) Zertifikate ausstellt.“

 

Seit 2017 war dies bereits für SSL/TLS zwingend erforderlich, doch ab dem 13. März 2025 wird diese Überprüfung auch für S/MIME-Zertifikate durchgeführt.

Überprüfen Sie, ob Sie Ihre DNS CAA-Datensätze konfiguriert haben, damit Ihre CA S/MIME-Zertifikate ausstellen kann.

DNS-Datensätze und Zertifikate

Im Kern fungiert DNS, oder Domain Name System, als Rückgrat des Internets. Es bietet ein nahtloses hierarchisches Framework, das benutzerfreundliche Domainnamen in numerische IP-Adressen umwandelt. Dieser kritische Übersetzungsprozess ermöglicht es den Nutzern, problemlos im Web zu navigieren und auf Websites und Dienste über einprägsame Namen zuzugreifen, anstatt über eine verwirrende Zahlenreihe.

Die Magie von DNS liegt in einem komplexen Netzwerk von Servern, die gewissenhaft die Zuordnung von Domainnamen zu ihren entsprechenden IP-Adressen verwalten. Wenn ein Nutzer eine Domain in seinen Browser eingibt, tritt DNS als wichtiger Vermittler auf, der ihn zur richtigen Seite oder zum richtigen Dienst leitet und somit sein Online-Erlebnis verbessert. Diese Funktionalität optimiert nicht nur die Nutzererfahrung, sondern fördert auch eine unterbrochene Konnektivität in der weitläufigen Landschaft des Webs.

Genauigkeit bei den DNS-Datensätzen ist unerlässlich, um eine sichere, zuverlässige und zugängliche Online-Präsenz aufrechtzuerhalten. Sie spielen eine zentrale Rolle dabei, einen reibungslosen Betrieb von Websites, eine zuverlässige E-Mail-Zustellung und die Einhaltung von Vorschriften zu gewährleisten, während sie gleichzeitig die Abwehrkräfte gegen potenzielle Sicherheitsbedrohungen stärken. In der Welt der digitalen Konnektivität ist ein robustes DNS-Framework entscheidend für die Aufrechterhaltung einer unterbrochenen Online-Präsenz.

 

Was ist eine DNS CAA-Ressourcenprüfungsprüfung?

Eine DNS CAA (Certificate Authority Authorization) Ressourcenprüfungsprüfung ist ein wichtiger Prozess, der den Zertifizierungsstellen (CAs) ermöglicht, zu bestätigen, ob sie die Berechtigung haben, SSL/TLS- oder S/MIME-Zertifikate für eine bestimmte Domain auszustellen. Dieser Verifizierungsschritt umfasst das Abfragen des DNS der Domain nach CAA-Datensätzen, die explizit die CAs auflisten, die berechtigt sind, Zertifikate für diese spezielle Domain auszustellen.

Durch die Nutzung von DNS CAA-Datensätzen können Domaininhaber ihre Sicherheitslage verbessern. Dieses Verfahren verhindert, dass unbefugte CAs Zertifikate ausstellen, und stellt sicher, dass nur genehmigte Stellen die Fähigkeit haben, die Domain zu validieren und zu sichern. CAA-Datensätze fungieren somit als essenzielle Zugangskontrolle, die die Integrität digitaler Zertifikate stärkt und das Vertrauen in Online-Kommunikation fördert. In einer Zeit, in der Sicherheitsverletzungen immer häufiger vorkommen, ist die Implementierung einer gründlichen DNS CAA-Prüfung eine proaktive Maßnahme, die jeder Domaininhaber ergreifen sollte.

 

DNS CAA-Ressourcenprüfung im Jahr 2025

Zertifizierungsstellen (CAs) wie DigiCert werden beginnen, CAA-Ressourcendatensätze zu überprüfen, bevor sie ein Secure Email (S/MIME) Zertifikat mit einer Mailbox-Adresse ausstellen. Dies ist ihre offizielle Ankündigung:

„Ab dem 13. März 2025 um 10:00 MDT (16:00 UTC) wird DigiCert die DNS-Zertifizierungsstellenautorisierung (CAA) Ihrer E-Mail-Domänen überprüfen, verarbeiten und sich daran halten, bevor DigiCert Ihre Secure Email (S/MIME) Zertifikate ausstellt.“

 

Seit 2017 war dies bereits für SSL/TLS zwingend erforderlich, doch ab dem 13. März 2025 wird diese Überprüfung auch für S/MIME-Zertifikate durchgeführt.

 

Wie überprüfe ich meine DNS- und CAA-Datensatzeinstellungen?

CAA-Datensätze sind in den DNS-Servereinstellungen Ihres Internetdienstanbieters (ISP) konfiguriert, was mehrere Schritte zur Zugänglichkeit erfordern kann. Eine effizientere Methode zur Überprüfung dieser Datensätze ist die Verwendung eines Drittanbieter-Tools, das globale DNS-Informationen abruft. Ein solches Tool ist der DNS Checker. Sie können hier Ihre DNS-Informationen anfragen:

https://dnschecker.org/all-dns-records-of-domain.php

 

Wie funktioniert die DNS CAA-Ressourcenprüfungsprüfung?

Bevor ein TLS/SSL-Zertifikat oder ein Secure Email (S/MIME) Zertifikat ausgestellt wird, führt die Zertifizierungsstelle (CA), wie DigiCert, eine Überprüfung der CAA-Datensätze der Domain oder der Mailbox-Domain durch. Diese Verifizierung stellt sicher, dass die CA berechtigt ist, das angeforderte Zertifikat auszustellen, und stärkt das Vertrauen und die Sicherheit digitaler Kommunikation.

 

Wie die Überprüfung funktioniert

  1. Vorhandensein von CAA-Datensätzen: Bevor ein Zertifikat ausgestellt wird, überprüft die CA, ob es CAA-Datensätze für die Domain gibt. Wenn keine CAA-Datensätze gefunden werden, kann die CA das Zertifikat ausstellen, da sie durch keine spezifische Autorisierung eingeschränkt ist.
  2. Autorisierungsprüfung: Wenn CAA-Datensätze vorhanden sind, überprüft die CA, ob sie in den Datensätzen als autorisierter Aussteller aufgeführt sind. Wenn ja, kann sie mit der Ausstellung des Zertifikats fortfahren. Wenn nicht, kann das Zertifikat nicht ausgestellt werden.
  3. CNAME-Verarbeitung: Wenn die Domain einen CNAME-Datensatz hat, der auf eine andere Domain verweist, folgt die CA bis zu acht Ebenen von CNAME-Zielen, um einen CAA-Datensatz zu finden. Die Suche stoppt, sobald ein CAA-Datensatz gefunden ist, und dessen Richtlinie wird angewendet.

 

Eine CA kann das TLS- oder S/MIME-Zertifikat ausstellen, wenn eine der folgenden Bedingungen zutrifft:

  • Es wird kein CAA-Datensatz für Ihre Domain gefunden.
  • Es wird ein CAA-Datensatz für Ihre Domain gefunden, der sie autorisiert, dieses Zertifikat auszustellen.
    • S/MIME-Zertifikat: yourdomain CAA 0 issuemail “digicert.com”
  • Es werden nur CAA-Datensätze für Ihre Domain ohne die Eigenschaften „issue“, „issuewild“ oder „issuemail“ gefunden.

 

Ein CAA-Ressourcendatensatz ist NICHT erforderlich

Ein CAA-Datensatz ist für DigiCert nicht erforderlich, um ein TLS/SSL- oder ein Secure Email (S/MIME) Zertifikat auszustellen. Die unten angegebenen Informationen gelten nur, wenn Sie sich in einer dieser Situationen befinden:

  • Sie haben CAA-Datensätze für Ihre TLS-Domains und Mailbox-Domains eingerichtet.
  • Sie planen, CAA-Ressourcendatensätze für Ihre TLS-Domains und Mailbox-Domains hinzuzufügen.

 

Format eines CAA-Datensatzes

Das Format eines CAA-Datensatzes ist so strukturiert, dass es mehrere wichtige Komponenten enthält, die angeben, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für eine Domain auszustellen. Hier ist das typische Format:

“name CAA <flags> <tag> value” 

 

Beispiel eines CAA-Datensatzes

Hier ist ein Beispiel für einen CAA-Datensatz, der Let’s Encrypt autorisiert, Standardzertifikate für eine Domain auszustellen:

domain.com CAA 0 issue “globalsign.com” 

 

Hier ist eine Übersicht der Felder und Tags:

Felder in einem CAA-Datensatz

  • Name
  • Beschreibung: Der Domainname.

 

  • Flag
  • Beschreibung: Dieses Feld zeigt an, ob die Eigenschaft kritisch oder nicht-kritisch ist. Derzeit werden nur zwei Werte unterstützt: 0 (nicht-kritisch) und 128 (kritisch).
  • Verwendung: Das kritische Flag (128) wird mit benutzerdefinierten Tags verwendet, um sicherzustellen, dass eine CA die Eigenschaft verstehen muss, bevor sie fortfährt. Für standardmäßige Tags wie issue, issuewild und iodef ist jedoch ein Flag von 0 ausreichend.

 

  • Tag
  • Beschreibung: Dies spezifiziert die Art der definierten Eigenschaft. Häufige Tags sind:
    • issue: Autorisiert eine CA, Standard- (nicht-Wildcard) SSL-Zertifikate auszustellen.
      • example.com CAA 0 issue “digicert.com”
    • issuewild: Autorisiert eine CA, Wildcard-SSL-Zertifikate auszustellen.
      • example.com CAA 0 issuewild “digicert.com”
    • iodef: Gibt eine E-Mail-Adresse oder URL für die Meldung von fehlgeschlagenen Anfragen zur Zertifikatsausstellung an.
    • issuevmc: Diese Eigenschaft ist spezifisch für VMC-Zertifikate.
      • example.com CAA 0 issuevmc “digicert.com”
    • issuemail: Diese Eigenschaft ist spezifisch für S/MIME-Zertifikate.
      • mail.example.com CAA 0 issuemail “digicert.com”
  • Verwendung: Diese Tags bestimmen die Art der Zertifikatsausstellung, die von der angegebenen CA erlaubt ist.

 

  • Value
  • Beschreibung: Dieses Feld enthält den Wert, der mit dem Tag verbunden ist. Bei issue und issuewild gibt es den Domainnamen der autorisierten CA an (z. B. “letsencrypt.org”). Bei iodef wird eine E-Mail-Adresse oder URL für Benachrichtigungen angegeben.
  • Verwendung: Der Wert ist entscheidend für die Identifizierung, welche CA autorisiert ist oder wohin Benachrichtigungen gesendet werden sollen.

 

 

Wie richte ich einen CAA-Datensatz für meine Domain ein?

Das Einrichten eines CAA (Certificate Authority Authorization)-Datensatzes für Ihre Domain ist ein entscheidender Schritt zum Schutz Ihrer digitalen Identität. Dieser Prozess umfasst die Auswahl spezifischer Zertifizierungsstellen (CAs), die berechtigt sind, SSL-Zertifikate in Ihrem Namen auszustellen.

Hier ist eine einfache Anleitung, die Ihnen beim Einrichten Ihres CAA-Datensatzes hilft:

 

Schritte zum Einrichten eines CAA-Datensatzes

1. Greifen Sie auf Ihre DNS-Einstellungen zu:

  • Melden Sie sich beim Kontrollpanel Ihres Domainregistrars oder DNS-Anbieters an. Dies können Dienste wie Hostinger, Namecheap oder Cloudflare sein.

2. Navigieren Sie zur DNS-Verwaltung:

Suchen Sie den Bereich für die DNS-Verwaltung. Dies könnte als “DNS-Einstellungen”, “DNS-Manager” oder “DNS verwalten” bezeichnet sein.

3. Fügen Sie einen neuen DNS-Datensatz hinzu:

Klicken Sie auf “Neuen Datensatz hinzufügen” oder “DNS-Datensatz erstellen”. Wählen Sie aus den verfügbaren Optionen “CAA” als Datensatztyp aus.

4. Geben Sie die Details des CAA-Datensatzes ein:

    • Name: Geben Sie @ für die Root-Domain ein oder spezifizieren Sie eine Subdomain, falls erforderlich. Das @-Symbol steht für die Root-Domain und gilt für alle Subdomains, es sei denn, ein spezifischer Subdomain-CAA-Datensatz überschreibt es.
    • Flag: Normalerweise auf 0 gesetzt, was anzeigt, dass der Datensatz nicht kritisch ist. Ein Flag von 128 könnte es als kritisch markieren, diese Einstellung wird jedoch selten verwendet.
    • Tag: Wählen Sie issue für Standardzertifikate, issuewild für Wildcard-Zertifikate, issuevmc für VMC-Zertifikate, issuemail für S/MIME oder iodef, um fehlgeschlagene Versuche zur Zertifikatsausstellung zu melden.
    • Value: Geben Sie den Domainnamen der autorisierten CA ein (z. B. “digicert.com” oder “globalsign.com”).
    • TTL (Time To Live): Definieren Sie die TTL, um festzulegen, wie lange der Datensatz von DNS-Resolvern zwischengespeichert wird. Übliche Einstellungen liegen bei etwa 3600 Sekunden (1 Stunde).

5. Speichern Sie den Datensatz:

Nachdem alle Details ausgefüllt sind, stellen Sie sicher, dass Sie den CAA-Datensatz speichern. Beachten Sie, dass es einige Zeit dauern kann, bis die Änderungen im Internet propagiert werden.

 

Beispiel für einen CAA-Datensatz

Für eine Domain, die Let’s Encrypt verwendet, könnte der CAA-Datensatz folgendermaßen aussehen:

  • Name: @ 
  • Flag: 0 
  • Tag: issue 
  • Value: google.com 
  • TTL: 3600 

Wenn Sie mehrere CAs autorisieren müssen, erstellen Sie separate CAA-Datensätze für jede.

 

Wichtige Hinweise

  • Überprüfen Sie die Unterstützung Ihres DNS-Anbieters: Stellen Sie sicher, dass Ihr DNS-Anbieter CAA-Datensätze unterstützt, da nicht alle Anbieter diese Funktionalität anbieten. Es ist wichtig, die Kompatibilität zu überprüfen, um CAA effektiv implementieren zu können.
  • Geltungsbereich der CAA-Datensätze: Denken Sie daran, dass CAA-Datensätze standardmäßig für die Root-Domain und ihre Subdomains gelten, es sei denn, ein spezifischer Subdomain-Datensatz ist konfiguriert, um diese Einstellung zu überschreiben. Das bedeutet, dass ein einzelner CAA-Datensatz mehrere Subdomains abdecken kann, wodurch Ihr Sicherheitsrahmen über Ihre gesamte Domain hinweg verbessert wird.

Durch Berücksichtigung dieser Faktoren können Sie die Sicherheitslage Ihrer Domain effektiver verwalten und sicherstellen, dass Ihre CAA-Datensätze korrekt eingerichtet sind, um den notwendigen Schutz gegen unbefugte Zertifikatsausstellungen zu bieten.

 

Warum ist die DNS CAA-Ressourcenprüfungsprüfung erforderlich?

Die DNS CAA (Certificate Authority Authorization)-Ressourcenprüfungsprüfung ist mehr als nur ein technischer Mechanismus; sie dient als entscheidendes Sicherheitsnetz im Bereich der digitalen Sicherheit aus mehreren überzeugenden Gründen:

  • Sicherheitsverbesserung: Der wichtigste Grund für die Implementierung von CAA-Datensätzen ist die Verbesserung der Sicherheit. Durch die Bestimmung, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für eine Domain auszustellen, verhindern CAA-Datensätze effektiv, dass unbefugte oder böswillige CAs Zertifikate erhalten. Diese Maßnahme ist entscheidend, um die Risiken im Zusammenhang mit Identitätsdiebstahl und Phishing-Angriffen zu mindern, bei denen Angreifer unregulierte Zertifikatsausstellungen ausnutzen könnten.
  • Kontrolle über die Zertifikatsausstellung: CAA-Datensätze bieten Domaininhabern eine bessere Kontrolle über ihre Sicherheitsrichtlinien. Indem sie genau festlegen können, welche CAs Zertifikate ausstellen dürfen, stellen diese Datensätze sicher, dass nur vertrauenswürdige Stellen die digitale Identität der Domain überwachen können. Diese erhöhte Aufsicht reduziert erheblich das Risiko sowohl unbeabsichtigter als auch betrügerischer Zertifikatsausstellungen.
  • Einhaltung von Branchenstandards: Seit September 2017 ist es für CAs verpflichtend, eine CAA-Datenprüfungsprüfung durchzuführen, bevor sie Zertifikate ausstellen. Diese Compliance verbessert den Sicherheitsrahmen, innerhalb dessen CAs arbeiten, und zeigt das Engagement der Branche für die Aufrechterhaltung bewährter Praktiken im Zertifikatsmanagement.

Zusammenfassend lässt sich sagen, dass die DNS CAA-Ressourcenprüfungsprüfung eine entscheidende Komponente zur Stärkung der Sicherheit und Integrität von Online-Domains ist. Durch das Angebot einer zusätzlichen Kontrollschicht und Compliance ermöglicht sie es Domaininhabern, ihre digitalen Identitäten effektiv zu verwalten und Risiken im Zusammenhang mit unbefugten Zertifikatsausstellungen zu mindern.

 

 

Risiken ohne einen CAA-Datensatz

Das Vernachlässigen der Implementierung eines DNS CAA (Certificate Authority Authorization)-Datensatzes kann Ihre Domain zahlreichen Sicherheits- und Compliance-Risiken aussetzen, die für den Schutz Ihrer digitalen Vermögenswerte entscheidend sind:

  • Unbefugte Zertifikatsausstellung: Ohne einen CAA-Datensatz darf jede vertrauenswürdige Zertifizierungsstelle (CA) ein Zertifikat für Ihre Domain ausstellen. Diese uneingeschränkte Fähigkeit erhöht das Risiko, dass unbefugte oder böswillige Zertifikate ausgestellt werden, die für Phishing-Angriffe oder Man-in-the-Middle-Szenarien ausgenutzt werden können und die Integrität Ihrer Kommunikation erheblich gefährden.
  • Sicherheitsanfälligkeiten: Das Fehlen eines CAA-Datensatzes macht Ihre Domain anfällig für Sicherheits schwächen innerhalb der Validierungs- oder Ausgabeprozesse einer CA. Wenn eine CA auf Schwachstellen stößt, ist Ihre Domain möglicherweise einem höheren Risiko von fehlerhaften Ausstellungen ausgesetzt, was sie in der Sicherheitslandschaft stärker unterdrücken könnte.
  • Mangelnde Kontrolle über die Zertifikatsausstellung: Nicht über einen CAA-Datensatz zu verfügen, bedeutet, die Kontrolle darüber aufzugeben, welche CAs berechtigt sind, Zertifikate für Ihre Domain auszustellen. Diese Einschränkung schränkt Ihre Möglichkeit ein, spezifische Sicherheitsrichtlinien oder -präferenzen durchzusetzen und setzt Ihre Domain weniger renommierten CAs aus, die möglicherweise nicht Ihren Sicherheitsstandards entsprechen.
  • Compliance-Risiken: In Umgebungen, in denen die Einhaltung von Vorschriften wichtig ist, kann das Fehlen eines CAA-Datensatzes als erheblicher Mangel an Sicherheitspraktiken angesehen werden. Diese Nachlässigkeit kann Ihre Einhaltung von Standards beeinträchtigen, die Maßnahme zur Sicherheit von Domains betonen, was zu Compliance-Strafen oder einem geschädigten Ruf führen könnte.
  • Risiken bei DNS-Komplikationen: Wenn Ihr DNS kompromittiert wird, könnte ein Angreifer möglicherweise bestehende Sicherheitsmaßnahmen, einschließlich CAA-Datensätzen, entfernen. Diese Situation könnte es unbefugten CAs ermöglichen, Zertifikate für Ihre Domain auszustellen, was das Risiko böswilliger Aktivitäten erheblich erhöht.

Zusammenfassend lässt sich sagen, dass das Fehlen eines CAA-Datensatzes zwar nicht sofort zu Sicherheitsverletzungen führen mag, jedoch eindeutig das Risiko unbefugter Zertifikatsausstellungen erhöht und Ihre Kontrolle über die Sicherheitsprotokolle der Domain verringert. Domaininhaber sollten proaktiv CAA-Datensätze als wesentlichen Bestandteil einer umfassenden Sicherheitsstrategie implementieren.

 

Zusammenfassung

Die DNS CAA (Certificate Authority Authorization)-Ressourcenprüfungsprüfung ist nicht nur ein technischer Mechanismus; sie ist ein wichtiges Sicherheitsnetz im Bereich der digitalen Sicherheit aus mehreren überzeugenden Gründen, darunter die Verhinderung unbefugter Zertifikatsausstellungen, die Behebung von Sicherheitsanfälligkeiten, die Aufrechterhaltung der Kontrolle über die Zertifikatsausstellungen, die Minderung von Compliance-Risiken und das Management von Risiken bei DNS-Kompromittierungen. Zertifizierungsstellen (CAs) wie DigiCert werden den DNS CAA-Datensatz überprüfen, um festzustellen, ob er korrekt konfiguriert ist und ob sie berechtigt sind, S/MIME-Zertifikate auszustellen. Benutzer werden ermutigt, zu überprüfen, ob ihre DNS CAA-Datensätze ordnungsgemäß eingerichtet sind.

 

Für weitere Informationen wenden Sie sich bitte an KeyTalk. Wir informieren Sie gerne darüber, wie unsere Plattform Ihnen dabei helfen kann.