Was ist CAA / CAA-Record (Certification Authority Authorization)

CAA (Certification Authority Authorization)

DNS Certificate Authority Authority (CAA) verwendet das Domain Name System, um es dem Eigentümer einer Domain zu ermöglichen, bestimmte Zertifizierungsstellen (CAs) zu autorisieren, Zertifikate für diese Domain auszustellen. CAA-Records sollen die fehlerhafte Ausstellung von Zertifikaten für Domains verhindern.

Jeder CAA-Eintrag hat ein Flag und ein Attribut und ist im DNS als Ressourceneintrag (RR) des Typs 257 implementiert, wodurch mehrere CAA-Einträge pro Domäne zugelassen werden. Dieses Flag wirkt sich auf die Interpretation von Datensätzen aus. Diese Eigenschaft ermöglicht die Auswahl verschiedener Arten von CAA-Datensätzen.

Neben dem Flag sind folgende Eigenschaften festgelegt:

issue
Diese Eigenschaft erlaubt einer CA, welche im value-Feld definiert wird, das Ausstellen eines Zertifikates für die betroffene Domain.

issuewild
Diese Eigenschaft funktioniert wie issue, jedoch nur für Wildcard-Zertifikate. Für diese hat die Eintragung Vorrang vor der unter issue.

iodef
Diese Eigenschaft erlaubt es dem Domaininhaber optional eine Kontaktmöglichkeit für die Zertifizierungsstelle zur Verfügung zu stellen. Nicht alle Zertifizierungsstellen unterstützen diese Eigenschaft.