Wieso erhalte ich einen PRE-SIGN FAILED Fehler? Was ist ein CAA DNS Eintrag? Certification Authority Authorization (CAA) Resource Record

Der Certificate Authority Authorization (CAA) DNS Eintrag erlaubt es dem DNS Domaininhaber genau festzulegen, welche Zertifizierungsstelle (CA - Certificate Authority) für die Domain Zertifikate ausstellen darf.
 
So soll die Sicherheit erhöht werden, indem SSL Zertifikatsmißbrauch erschwert wird. So könnte im Falle einer MITM (Man-in-the-middle) Attacke ein Angreifer nicht ein gefälschtes SSL Zertifikat einer X-beliebigen Zertifizierungsstelle für die selbe Domain ausstellen, sondern es werden nur SSL Zertifikate der im DNS CAA Eintrag angegebenen SSL Zertifikate erlaubt.

Ihren CAA Eintrag können Sie hier überprüfen:
https://dnsspy.io/labs/caa-validator


Wenn Sie mehrere CAs erlauben möchten, werden mehrere CAA Einträge angelegt, jeweils für eine CA. Der Wert für SECTIGO (ehemals COMODO) lautet "sectigo.com" (früher: comodoca.com), der Wert für DIGICERT / GEOTRUST lautet "digicert.com"

beispieldomain.com. 21050 IN CAA 0 issue "sectigo.com"

beispieldomain.com. 21050 IN CAA 0 issuewild "sectigo.com"

beispieldomain.com. 21050 IN CAA 0 issue "digicert.com"

beispieldomain.com. 21050 IN CAA 0 issuewild "digicert.com"

 
Bitte beachten Sie, dass für die Austellung eines Wildcard Zertifikats BEIDE Einträge (issue und issuewild) vorhanden sein müssen!
 

Das Dokument RFC 6844 beschreibt die Syntax für den CAA Eintrag und die dazugehörigen Verabeitungsregeln. 

Details in RFC 6844 anzeigen:
https://tools.ietf.org/html/rfc6844


War diese Antwort hilfreich?

 Artikel drucken

Lesen Sie auch

SSL Traffic Mitschnitt mit tshark entschlüsseln (benötigt Private Key)

Beispiel, um SSL traffic mit tshark zu entshlüsseln (private key liegt in www.domain.key):...

Ist die SSL Ausstellung für .krd / .gov.krd (Kurdistan - Irak) Domains möglich?

JA. Die TLD wurde von GeoTrust / RapidSSL auf Nachfrage für einen unseren Kunden im System...

SSL Sicherheit bzw. SSL Installation und Konfiguration überprüfen

Nutzen Sie unsere Auswahl an SSL Tools, um Ihre SSL Installation und Konfiguration zu überprüfen!...

Wie kann ich die Installation meines Zertifikats überprüfen?

Auf unserer SSL Tools Seite stehen Ihnen verschiedene SSL Checker Werkzeuge zur professionellen...

Wo bekomme ich ein Wildcard EV (Erweiterte Validierung) SSL Zertifikat?

Aufgrund der CA/B Forum Policies gibt es bei Zertifikaten mit EV (Erweiterte Validierung) keine...