Geekflare
Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Sicherheit  |  Zuletzt aktualisiert: September 24, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Was ist DNS CAA und wie wird es validiert und implementiert?

Unter
dns caa-eintrag

Nutzen Sie den DNS-Eintrag CAA, um die CA zur Ausstellung der TLS-Zertifikate zu autorisieren.

Was ist DNS CAA?

CAA ist einer der DNS-Datensatztypen, die die CA anweisen, ob sie ein Zertifikat ausstellen soll oder nicht. Mit anderen Worten: Sie teilen die Welt mit, wer Ihr Bereich-SSL/TLS-Zertifikat ausstellen soll. Die CAA-Implementierung wurde Ende 2017 verbindlich vorgeschrieben, ist also relativ neu und weniger als 5 % der beliebten Websites haben sie bereits implementiert

Nehmen wir ein Beispiel - Geekflare besitzt eine Website namens "gf.dev", die den folgenden CAA-Eintrag hat

gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev. 3586 IN CAA 0 issuewild "comodoca.com"
gf.dev. 3586 IN CAA 0 issue "comodoca.com"
gf.dev. 3586 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"

gf

.dev. 3586 IN CAA 0 issuewild "letsencrypt.org"

gf

.dev. 3586 IN CAA 0 issue "letsencrypt.org"

Wenn ich mir die obigen Ergebnisse ansehe, kann ich das Zertifikat nur von DigiCert, Comodo und Let's encrypt ausstellen lassen. Wenn ich Thawte oder eine andere Zertifizierungsstelle darum bitte, ein Zertifikat für gf.dev ausstellen , können sie es nicht tun. Wenn Sie genau hinschauen, werden Sie außerdem feststellen, dass einige Einträge Ausgabe und andere issuewild sind. Lassen Sie uns herausfinden, was das ist

  • issue - weist die CA an, das Zertifikat nur für diese Domäne auszustellen.
  • issuewild - CA kann das Wildcard-Zertifikat ausstellen, so dass es in einer Domain oder Sub-Domain verwendet werden kann.

Der CAA-Datensatz unterstützt auch das iodef (Incident object description exchange format), das es der CA ermöglicht, einen Verstoßbericht an die angegebene E-Mail-Adresse oder die Kontaktangaben zu senden

Was passiert, wenn kein CAA-Eintrag gefunden wird?

Wenn eine Domäne keinen CAA-Eintrag hat, kann jeder eine CSR für diese Domäne erstellen und das Zertifikat von einer beliebigen CA signieren lassen. Dies ist ein Sicherheitsrisiko

Ist das jetzt klar?

Es gibt einige Abkürzungen, die ich oben verwendet habe. Schauen wir uns an, was sie bedeuten

  • DNS - Domänennamensystem
  • CA - Zertifizierungsstelle
  • CAA - Autorisierung der Zertifizierungsstelle
  • TLS - Transportschicht-Sicherheit
  • SSL - Sichere Socket-Schicht

Wie überprüft man den DNS CAA-Eintrag?

Es gibt mehrere Möglichkeiten, den CAA-Eintrag zu überprüfen. Wenn Sie Ihr Terminal nicht verlassen wollen, können Sie den Befehl graben verwenden

dig caa $YOURWEBSITE.COM

Beispiel für geekflare.com

root@geekflare:~# dig caa geekflare.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa geekflare.com
;; globale Optionen: cmd
;; Antwort erhalten:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; Flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;geekflare.com. IN CAA

;; ANTWER SECTION:
geekflare.com. 3600 IN CAA 0 issuewild "comodoca.com"
geekflare.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
geekflare.com. 3600 IN CAA 0 issue "comodoca.com"
geekflare.com.		3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
geekflare.com. 3600 IN CAA 0 issue "letsencrypt.org"
geekflare.com.		3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Abfragezeit: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE rcvd: 298

root@geekflare:~#

Wenn Sie dies aus der Ferne testen möchten, dann können Sie das Online-Tool DNS CAA Tester verwenden

Wie füge ich einen CAA-Eintrag hinzu?

Technisch gesehen ist dies derselbe Weg, wie Sie andere DNS-Einträge wie A, NS, CNAME usw. hinzufügen

Wenn Sie Cloudflare verwenden, gehen Sie auf die Registerkarte DNS >> Eintrag hinzufügen und wählen Sie CAA als Typ

Bei GoDaddy gehen Sie zu DNS Management und fügen Sie einen Eintrag hinzu

Wenn Sie nicht sicher sind, wie Sie einen Eintrag hinzufügen können, wenden Sie sich an Ihren DNS-/Hosting-Anbieter, um Hilfe zu erhalten

Fazit

Falls noch nicht geschehen, sollten Sie den CAA-Eintrag nutzen, um die Sicherheit Ihrer Domain zu erhöhen. Das Hinzufügen eines CAA-Eintrags kostet Sie nichts.

  • Chandan Kumar
    Autor
    Chandan Kumar ist der Gründer von Geekflare. Er hat Millionen von Menschen geholfen, sich im digitalen Bereich zu verbessern. Er hat eine Leidenschaft für Technologie und ist auf einer Mission, die Welt zu erforschen und das Wachstum von Fachleuten und Unternehmen zu steigern.
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Sicherheit
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Brightdata
    Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Montag.com
    Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Eindringling
    Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder