Zertifizierungsstellen an die Leine gelegt
SSL/TLS sicherer durch neuen DNS-Eintrag CAA
Ab sofort können Admins recht einfach bestimmen, wer für ihre Domain SSL/TLS-Zertifikate ausstellen darf. Bisher konnte das weltweit jede Zertifizierungsstelle – was Missbrauch Tür und Tor öffnete. Doch auch der neue Standard lässt Spielraum für Schindluder.
Basis für die Beschränkung des Wirkungsbereichs der Zertifizierungsstellen ist eine Certification Authority Authorization (CAA), die ein Admin im Domain Name System (DNS) hinterlegt. Die sagt dann im wesentlichen, dass beispielsweise nur Symantec und Let’s Encrypt Zertifikate für eine Domain wie „heise.de“ unterzeichnen dürfen.
Seit dem 8. September 2017 sind alle CAs verpflichtet, vor dem Ausstellen eines Zertifikats zu prüfen, ob sie das auch wirklich dürfen. Liefert ein DNS-Lookup einen CAA-Record für eine Domain, darf sie das Zertifikat nur dann ausstellen, wenn sie darin aufgeführt ist. Ansonsten muss sie die Zertifizierung verweigern. Das hat das CA/Browser Forum im März 2017 nahezu einstimmig beschlossen.