caa-missing
CAA-Eintrag fehlt
Ohne CAA-DNS-Eintrag kann jede der 90+ Zertifizierungsstellen TLS-Zertifikate für Ihre Domain ausstellen. Wie ein CAA-Eintrag das verhindert und wie Sie ihn setzen.
Worum es geht
Jedes HTTPS-Zertifikat (das Schloss-Symbol neben der Adresse im Browser) wird von einer Zertifizierungsstelle ausgestellt. Das sind Unternehmen, denen Browser per Default vertrauen, dass sie vor der Ausstellung den Inhaber einer Domain überprüfen. Weltweit gibt es rund 100 solcher öffentlichen Stellen.
Ohne CAA-Eintrag auf Ihrer Domain darf jede dieser 100 Stellen
ein Zertifikat für ihre-domain.de an alle ausstellen, die ihre
Validierung bestehen. Mit einem CAA-Eintrag erklären Sie öffentlich:
“nur diese bestimmten Stellen dürfen für mich Zertifikate ausstellen”.
Jede sich korrekt verhaltende Stelle muss vor der Ausstellung den
Eintrag prüfen und ablehnen, wenn sie nicht gelistet ist.
Warum das wichtig ist
Das verhinderte Risiko zählt zu den schwerwiegenderen in der Infrastruktur-Sicherheit: jemand außer Ihnen lässt sich ein gültiges HTTPS-Zertifikat für Ihre Domain ausstellen. Mit einem solchen Zertifikat lässt sich Ihre Webseite aus jedem Netz, das der Angreifer kontrolliert, perfekt imitieren (gleiche Domain in der Adresszeile, gleiches Schloss) und Anmeldedaten, Zahlungsdetails oder Kund:innen-Korrespondenz abgreifen.
Solche Angriffe sind selten, aber im Eintrittsfall folgenreich. Sie folgen meist auf einen kurzen Einbruch in eine Ihrer Kontroll-Oberflächen: ein gekapertes DNS-Konto, ein schwaches Passwort auf einem Hosting-Panel, ein kompromittiertes E-Mail-Postfach. Der Angreifer nutzt den kurzen Zugriff, besteht die Validierung einer Stelle und behält das echte Zertifikat. Damit hat er weiterhin Zugriff auf Ihre Kund:innen-Verbindungen, selbst wenn Sie den ursprünglichen Einbruch längst geschlossen haben.
Ein CAA-Eintrag ist eine statische Ein-Zeilen-Absicherung mit praktisch null Kosten und realem Sicherheitsgewinn.
So beheben Sie das
Vorgehen: prüfen, welche Zertifizierungsstelle Sie wirklich nutzen (bei den meisten KMU ist das Let’s Encrypt, auf nahezu jeder modernen Hosting-Plattform der Default), dann eine kurze Liste in Ihrem DNS hinterlegen, die nur diese Stelle nennt.
Ein typischer Eintrag in den DNS-Einstellungen Ihrer Domain:
ihre-domain.de. CAA 0 issue "letsencrypt.org"
ihre-domain.de. CAA 0 issuewild "letsencrypt.org"
ihre-domain.de. CAA 0 iodef "mailto:security@ihre-domain.de"
Die ersten zwei Zeilen autorisieren Let’s Encrypt: issue für
normale Zertifikate, issuewild für Wildcard-Zertifikate. Wenn Sie
keine Wildcards nutzen, in der zweiten Zeile letsencrypt.org durch
";" ersetzen, das verbietet Wildcards explizit.
Die dritte Zeile ist eine Meldeadresse. Stellen, die verdächtige Ausstellungs-Versuche erkennen, schreiben dorthin.
Eine nützliche Eigenschaft des CAA-Eintrags: er vererbt sich auf
Subdomains. Ein
Eintrag auf Ihrer Hauptdomain deckt auch shop.ihre-domain.de,
api.ihre-domain.de und jede weitere Subdomain mit ab, sofern dort
nicht ein eigener Eintrag liegt. Sie setzen ihn also nur einmal, auf
der obersten Ebene.
Nach der Veröffentlichung bestätigt der unten verlinkte Checker das Ergebnis.
Mehr dazu
- SSLMate-CAA-Generator: erzeugt die exakten Einträge für Ihre Situation.
- Let’s Encrypt zur CAA
- RFC 8659 — CAA-Spezifikation