{"id":4541,"date":"2017-09-05T16:20:59","date_gmt":"2017-09-05T14:20:59","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=4541"},"modified":"2025-12-17T14:41:08","modified_gmt":"2025-12-17T13:41:08","slug":"caa-certification-authority-authorization","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/caa-certification-authority-authorization\/","title":{"rendered":"CAA \u2013 Certification Authority Authorization"},"content":{"rendered":"

Bei Certification Authority Authorization, kurz: CAA, handelt es sich um ein Verfahren, bei dem Sie als Domaininhaber im DNS festlegen, welche CA f\u00fcr Ihre Domain Zertifikate ausstellen darf und f\u00fcr das Validieren zust\u00e4ndig ist. Das im RFC 6844<\/a> dokumentierte Verfahren wird auch als CA-Pinning, Certificate Pinning oder SSL-Pinning bezeichnet. Dabei wird das SSL-\/TLS-Zertifikat nicht nur an einen festgelegten Host sondern auch an eine festgelegte CA (Zertifizierungsstelle) gebunden.<\/p>\n

Wozu ist CAA gut?<\/h3>\n

Das urspr\u00fcngliche Modell der Zertifizierungsstellen erlaubte es, dass jede CA f\u00fcr jeden Host- bzw. Domainnamen Zertifikate ausstellen kann. Das konnte zur Folge haben, dass mehrere Zertifikate von verschiedenen CAs f\u00fcr ein und dieselbe Domain ausgestellt werden.<\/p>\n

Angreifer machen sich dies zunutze: Um einen Man-in-the-Middle-Angriff (MITM<\/a>) zu starten, lassen sich Angreifer ein g\u00fcltiges Zertifikat ausstellen, obwohl sie nicht Domain-Inhaber sind. Das erlaubt dem Angreifer, sich mit dem gef\u00e4lschten Zertifikat als Server auszugeben, der er nicht ist. Man spricht hierbei vom Identit\u00e4tsdiebstahl. So lassen sich auch verschl\u00fcsselte Verbindungen zwischen Server und Client \u00fcbernehmen.<\/p>\n

Ist nun ein Zertifikat eines Hosts bzw. einer Domain an eine vorher festgelegte Zertifizierungsstelle gebunden, f\u00e4llt bereits beim Validieren auf, dass das Zertifikat von einer fremden CA gezeichnet ist. Dann wird das Zertifikat als ung\u00fcltig angesehen.<\/p>\n

Und wie funktioniert CAA?<\/h3>\n

Schon in der DNS legen Sie als Domaininhaber mithilfe des CAA-Records fest, welche Zertifizierungsstelle ein Zertifikat f\u00fcr Ihre Domain ausstellen darf. F\u00fcr diese Domain darf nun ausschlie\u00dflich diese CA Zertifikate ausstellen. Es kann nicht mehr zu f\u00e4lschlich ausgestellten Zertifikaten kommen.<\/p>\n

Wurde das Zertifikat durch die richtige CA ausgestellt, kann diese Zertifizierungsstelle auch nach der G\u00fcltigkeit des TLS-Zertifikats befragt werden. Versucht nun eine Gegenstelle, sich als korrekter Server auszuweisen und pr\u00e4sentiert daf\u00fcr ein Zertifikat, welches von einer anderen CA unterschrieben wurde, schl\u00e4gt der Client Alarm.<\/p>\n

\"Funktionsweise<\/a><\/p>\n

Diese neue Regelung wurde in den Baseline Requirements festgelegt und ist wirksam ab dem 08. September 2017. Hei\u00dft: Ab diesem Stichtag k\u00f6nnen SSL\/TLS-Zertifikate nur dann ausgestellt werden, wenn die CA als CAA in der DNS festgelegt wurde. Legen Sie kein CAA Record (= CAA-Eintrag) an, kann das Zertifikat von jeder CA ausgestellt werden. Ihrer eigenen Sicherheit zuliebe legen Sie in der DNS also ein CAA Record an.<\/p>\n

<\/h3>\n

Der CAA-Eintrag<\/h3>\n

Ein CAA Record kann beispielsweise so aussehen:<\/p>\n

example.com. IN CAA 0 issue „Zertifizierungsstelle“<\/p>\n