DNS: CAA Resource Record

Geschrieben von Thomas Heidrich am Freitag, 10. März 2017

Das Vertrauen in TLS und damit auch in HTTPS basiert für normalsterbliche Leute auf dem Vertrauen in die vielen Zertifizierungsstellen, die bei Betriebssystemen und Browsern vorkonfiguriert sind. Ein Sicherheitsproblem in auch nur einer Zertifizierungsstelle (CA) reicht, um das ganze System unsicher zu machen.

Motivation

Die Geschichte der CAs ist gespickt mit Fehlern. Nur wenige haben eine weiße Weste.

Ab September 2017 haben sich alle CAs selbstverpflichtet den Certification Authority Authorization (CAA) Resource Record (RR) bei der Ausstellung eines jeden Zertifikats zu prüfen.

CAA RR

Der CAA RR ist im RFC6844 beschrieben und definiert, dass man im DNS hinterlegen kann, welche CA einem ein Zertifikat ausstellen darf. Im Falle von Let's Encrypt sieht das z.B. wie folgt aus.

example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 issuewild ";"
example.com.    CAA    0 iodef "mailto:bla@example.com"

Der Eintrag issue und issuewild beschreibt, welche CAs erlaubt sind. Da Let's Encrypt keine Wildcardzertifikate ausstellt, ist dies im Beispiel deaktiviert.

Mit iodef kann man eine URL oder Mailadresse spezifizieren, an die Verstoßversuche gemeldet werden sollen.

Anmerkungen

Qualys SSL Server Test prüft seit neustem auch diesen Record, ein Punktabzug ist mir nicht bekannt.

Es gibt einen CAA RR Generator für die großen CAs, über das Critical Flag, welches im Beispiel 0 ist, sollte man sich aber noch weiter informieren, bevor man das einfach auf 0 setzt.

Fazit

Ich bin gespannt, inwiefern dies hilft. Überzeugt bin ich erst, wenn zehn Jahre am Stück kein CA-Problem mehr auftritt. Das ganze CA-Konzept erachte ich als inherent unsicher und gehört überholt.

DNSSEC und Fingerprints der benutzten selbsterzeugten Zertifikate drin ablegen und schon wäre man den CA-Wasserkopf los;

Kommentare

Thomas am Sonntag, 19. März 2017:

Hi, leider fehlt bisher im Netz ein Beispiel oder Generator um zu sehen wie eine CA iodef Mail aussieht. So ein Beispiel wäre noch schön in dem Artikel. Sonst ist das Thema gut beschrieben.

Thomas Heidrich am Sonntag, 19. März 2017:

Die im Beispiel benutzte CA Let's Encrypt unterstützt iodef leider noch nicht. Das Datenformat für eine solche Mail wird im RFC6844 Abschnitt 5.4 referenziert. Konkret müsste man es aber einfach ausprobieren, ob es wirklich so ist. Die Trial-Zertifikate, die von manchen CAs kostenlos ausgestellt werden, sollten bei der Ausstellung den CAA-Record prüfen.

Kommentar schreiben

Thomas Heidrich zu Kaffee: Instandsetzung eines AKA K500 - Kaffeeboy

Mo., 04.09.2023 17:23

Ich kann nur Vermutungen anstellen. Vielleicht löst das Überdruckventil im Schraubverschluss des Tanks zu früh aus [...]

Enno0815 zu Kaffee: Instandsetzung eines AKA K500 - Kaffeeboy

Mo., 04.09.2023 07:03

Hallo ich habe jetzt schon 2 davon. Alle Dichtungen neu .Aber es will nicht wie es soll ,zuviel dampf Kaffee dünn [...]

Ralf zu Mod: Comandante C40

So., 20.08.2023 19:41

Perfekt Danke, das werde ich mal testen. Schönen Abend, und Grüße.

Thomas Heidrich zu Mod: Comandante C40

So., 20.08.2023 18:50

Hi Ralf, das Kugelgelenk macht das Halten von Akkuschrauber und Comandante einfacher. Alles zusammen hat ja sch [...]

So., 20.08.2023 18:42

Moin Thomas, das ist eine super Idee, Danke dafür. Kannst du mir sagen, wofür das Kugelgelenk gut ist? Liebe Gr [...]