Logo faq-o-matic.net
Logo faq-o-matic.net

Certification Authority Authorization Records (CAA)

von veröffentlicht am23. August 2017, 06:09 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Namensaufloesung, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen.

clip_image001

Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut verständliche Zusammenfassung gibt es hier: https://gnuheidix.de/archives/64-DNS-CAA-Resource-Record.html

„Der CAA RR ist im RFC6844 beschrieben und definiert, dass man im DNS hinterlegen kann, welche CA einem ein Zertifikat ausstellen darf …“

Unter https://sslmate.com/labs/caa/ befindet sich ein Syntax-Generator, welcher für die Kombination der eigenen Domain und diverser Zertifizierungsstellen die entsprechenden CAA Ressource Records erstellt. Das Ergebnis sieht dann etwa folgendermaßen aus:

clip_image003

So weit, so einfach. Interessant wird es, wenn man versucht, diese Einträge in einen Windows Server 2016 DNS zu bekommen.

Windows 2016 unterstützt mittels RFC 3597 Syntax das Anlegen unbekannter Einträge (unknown records).
https://docs.microsoft.com/en-us/windows-server/networking/dns/what-s-new-in-dns-server

„Unknown record support

An „Unknown Record“ is an RR whose RDATA format is not known to the DNS server. The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. The windows caching resolver already has the ability to process unknown record types. Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.“

Damit hat sich aber auch schon mehr oder weniger die komplette Dokumentation dieses Features erledigt. Es ist naheliegend, dass sich das Eintragen solcher Resource Records mittels Powershell erledigen lässt. Da sich offenbar kaum jemand einen DNS Server mit Windows für die public DNS Zone „hält“, findet sich aber auch nach längerer Recherche leider kein Beispiel oder Ähnliches. Deswegen hier kurz die Powershell-Syntax, sollte man selbst vor diesem Problem stehen.

Add-DnsServerResourceRecord -Name faq-o-matic.net -RecordData 0005697373756564696769636572742E636F6D -Type 257 

Ich habe keinen Weg gefunden, diese Art Einträge mittels der DNS-Konsole anzulegen, aber wenn sie mittels Powershell oder Editieren des Zonenfiles erstmal erzeugt sind, sieht das in der GUI folgendermaßen aus.

clip_image005

clip_image006

Das Ergebnis sieht dann so aus wie auf dem folgenden Screenshot.

clip_image007

Wer allerdings keinen eigenen DNS-Server betreibt, muss wohl noch eine Weile warten, bis die ganzen DNS-Hoster eine entsprechende Funktion direkt in der GUI ihrer Adminoberfläche oder zumindest mittels Support anbieten. Nachfolgend eine kleine Aufstellung meiner Nachfragen und Recherchen, die natürlich keinen Anspruch auf Vollständigkeit erheben. Sollten Ergänzungen oder Korrekturen benötigt werden, bitte ich um eine kurze Benachrichtigung über https://www.faq-o-matic.net/impressum/

Es bleibt also abzuwarten, wann und welche Provider mitziehen. Ist wohl ähnlich wie beim SPF Record, der auch relativ lange benötigte, bis man ihn endlich setzen konnte.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!