CAA Records im DNS für das Ausstellen von TLS-Zertifikaten seit September verpflichtend

Wer in Zukunft für seine Domains noch TLS-Zertifikate von einer CA verwenden möchte, der muss jetzt die im folgenden Artikel beschriebenen CAA Records im DNS ablegen, damit die CA überhaupt ein Zertifikat für die entsprechende Domain ausstellen darf.

Siehe heise.de/security/meldung/TLS-Zertifikate-CAAs-sollen-Zertifizierungsstellen-an-die-Leine-legen.

Habe das nur zufällig gelesen, daher soll das hier abgelegt sein; sonst hat man beim nächsten Zertifikat-Update von LetsEncrypt kein Zertifikat mehr :)

Ähnliche Themen...

3 Gedanken zu „CAA Records im DNS für das Ausstellen von TLS-Zertifikaten seit September verpflichtend“

  1. Hallo,

    so wie ich das verstanden habe, ist lediglich die Prüfung seitens der CAs, ob ein solcher CAA-Eintrag vorhanden ist, seit September verpflichtend. Das würde bedeuten, dass CAs die CAA Records jetzt prüfen müssen und kein Zertifikat ausstellen dürfen, wenn ihre CA nicht explizit im Record genannt wurde. Ist kein CAA-Eintrag vorhanden, dürfte nach wie vor noch jede CA ein Zertifikat für die Domain ausstellen. Alles andere wäre auch ein zu harter Übergang. Es soll nach wie vor Registrare geben, die CAA-Einträge nicht unterstützen und es soll auch noch genug Admins geben, die CAA gar nicht kennen. Wenn all jene plötzlich kein Zertifikat mehr ausstellen könnten, wäre schnell Land unter.

    Grüße

    1. Stimmt so. Mir war es wichtig das zu verlinken, weil ich viele Leute kenne, die wie ich auch, LetsEncrypt verwenden. Und die machen das anscheinend nur noch mit CAA-Eintrag.

  2. Wenn ich das richtig verstanden habe, so ist ein CAA-Record nicht verpflichtend. Nur, wenn einer vorhanden ist, sollte dieser von den CAs in Zukunft berücksichtigt werden.

    Gruß
    Johannes

Kommentare sind geschlossen.