caa-missing
CAA-Eintrag fehlt
Ein CAA-Eintrag listet öffentlich, welche Zertifizierungsstellen HTTPS-Zertifikate für Ihre Domain ausstellen dürfen. Fehlt er, kommen alle weltweit anerkannten Stellen in Frage, auch solche, mit denen Sie nichts zu tun haben.
Worum es geht
Jedes HTTPS-Zertifikat (das Schloss-Symbol neben der Adresse im Browser) wird von einer Zertifizierungsstelle ausgestellt. Das sind Unternehmen, denen Browser per Default vertrauen, dass sie vor der Ausstellung den Inhaber einer Domain überprüfen. Weltweit gibt es rund 100 solcher öffentlichen Stellen.
Ohne CAA-Eintrag auf Ihrer Domain darf jede dieser 100 Stellen
ein Zertifikat für ihre-domain.de an alle ausstellen, die ihre
Validierung bestehen. Mit einem CAA-Eintrag erklären Sie öffentlich:
“nur diese bestimmten Stellen dürfen für mich Zertifikate ausstellen”.
Jede sich korrekt verhaltende Stelle muss vor der Ausstellung den
Eintrag prüfen und ablehnen, wenn sie nicht gelistet ist.
Warum das wichtig ist
Das verhinderte Risiko gehört zu den dramatischeren der Infrastruktur-Sicherheit: jemand bekommt ein gültiges HTTPS-Zertifikat für Ihre Domain ausgestellt, der nicht Sie ist. Mit einem solchen Zertifikat lässt sich Ihre Webseite aus jedem Netz, das der Angreifer kontrolliert, perfekt imitieren (gleiche Domain in der Adresszeile, gleiches Schloss) und Anmeldedaten, Zahlungsdetails oder Kund:innen-Korrespondenz abgreifen.
Solche Angriffe sind selten, aber im Eintrittsfall folgenreich. Sie folgen meist auf einen kurzen Einbruch in eine Ihrer Kontroll-Oberflächen: ein gehijacktes DNS-Konto, ein schwaches Passwort auf einem Hosting-Panel, ein kompromittiertes E-Mail-Postfach. Der Angreifer nutzt den kurzen Zugriff, besteht die Validierung einer Stelle und behält das echte Zertifikat (und damit den Zugriff auf Ihre Kund:innen-Verbindungen) auch dann noch, wenn Sie den ursprünglichen Einbruch längst geschlossen haben.
Ein CAA-Eintrag ist eine statische Ein-Zeilen-Verteidigung mit praktisch null Kosten und realem Risikogewinn.
So beheben Sie das
Vorgehen: prüfen, welche Zertifizierungsstelle Sie wirklich nutzen (bei den meisten KMU ist das Let’s Encrypt, auf nahezu jeder modernen Hosting-Plattform der Default), dann eine kurze Liste in Ihrem DNS hinterlegen, die nur diese Stelle nennt.
Ein typischer Eintrag in den DNS-Einstellungen Ihrer Domain:
ihre-domain.de. CAA 0 issue "letsencrypt.org"
ihre-domain.de. CAA 0 issuewild "letsencrypt.org"
ihre-domain.de. CAA 0 iodef "mailto:security@ihre-domain.de"
Die ersten zwei Zeilen autorisieren Let’s Encrypt: issue für
normale Zertifikate, issuewild für Wildcard-Zertifikate. Wenn Sie
keine Wildcards nutzen, in der zweiten Zeile letsencrypt.org durch
";" ersetzen, das verbietet Wildcards explizit.
Die dritte Zeile ist eine Meldeadresse. Stellen, die verdächtige Ausstellungs-Versuche erkennen, schreiben dorthin.
Schöne Eigenschaft des CAA-Eintrags: er vererbt sich nach unten. Ein
Eintrag auf Ihrer Hauptdomain deckt auch shop.ihre-domain.de,
api.ihre-domain.de und jede weitere Subdomain mit ab, sofern dort
nicht ein eigener Eintrag liegt. Sie setzen ihn also nur einmal, auf
der obersten Ebene.
Nach der Veröffentlichung bestätigt der unten verlinkte Checker das Ergebnis.
Mehr dazu
- SSLMate-CAA-Generator: erzeugt die exakten Einträge für Ihre Situation.
- Let’s Encrypt zur CAA
- RFC 8659 — CAA-Spezifikation