Ab dem 1. Juli 2021 müssen DNS-Betreiber bei der Ausstellung von Zertifikaten die CAA-Einträge überprüfen.

Im Rahmen der zusätzlichen Überprüfungen stellte das CA/B Forum fest, dass Abschnitt 3.2.2.8 der aktuellen Regeln für die Ausstellung von SSL-Zertifikaten (Baseline Requirements) Sicherheitslücken in Bezug auf die CAA-Verifizierung enthält.

Gegenwärtig erlaubt Abschnitt 3.2.2.8 die Umgehung der CAA-Überprüfung, wenn die CA (oder ihr verbundenes Unternehmen) ein DNS-Betreiber ist.

Die Definition eines DNS-Betreibers in RFC 7719 liefert eine klare technische Beschreibung, wie autoritative Serverzonen (einschließlich NS-Einträge) konfiguriert und übertragen werden. Entsprechend dieser Definition kann die Zertifizierungsstelle die Überprüfung des CAA-Eintrages umgehen, was sie jedoch nicht von der Notwendigkeit entbindet, bei der Ausstellung jedes Zertifikats nach allen anderen Einträgen zu suchen.

Dies führte zu Unstimmigkeiten unter den Zertifizierungsstellen, die ohne Bestätigung autoritativ agierten, was nicht mit den geltenden Vorschriften übereinstimmt.

Um solche Probleme zu vermeiden, müssen DNS-Betreiber ab dem 1. Juli 2021 eine CAA-Überprüfung durchführen. Auf diese Weise gibt es für Zertifizierungsstellen weniger Unklarheiten bei der Auslegung der Regeln für die Ausstellung von Zertifikaten.

Abonnieren Sie unsere Updates, um über SSL-Entwicklungen stets auf dem Laufenden zu bleiben.