Neu unterstützt unser DNS-Manager im Controlpanel CAA resource records und es wurden für sämtliche Kunden-Domains folgende Einträge erstellt:
@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issuewild ";"
Was ist CAA?
Certification Authority Authorization (CAA) ist ein Verfahren, beim dem der Domain-Inhaber im DNS festlegen kann, welche Zertifizierungsstellen (Certification Authority, CA) für seine Domain Zertifikate ausstellen dürfen und für die Validierung zuständig sind.
Das allgemein als CA-Pinning bezeichnete Verfahren trägt offiziell die Bezeichnung Certification Authority Authorization, welches im RFC 6844 dokumentiert ist. Gelegentlich findet man auch die Bezeichnungen Certificate Pinning und SSL-Pinning.
Beim CA-Pinning wird ein Zertifikat nicht nur an einen bestimmten Host, sondern auch an eine bestimmte Zertifizierungsstelle gebunden.
Aktuell (Stand: April 2017) werden die CAA-Einträge bereits durch die grössten Zertifizierungsstellen (CA) überprüft, unter anderem: Comodo, DigiCert, Entrust, GeoTrust, Let's Encrypt, Symantec, Thawte, WoSign. Ab September 2017 wird diese Überprüfung für alle CAs obligatorisch.
Warum CA-Pinning?
Das ursprüngliche CA-Modell von SSL bzw. TLS erlaubt es, dass jede Zertifizierungsstelle für jeden Host- oder Domain-Namen ein Zertifikat ausstellen darf. Das bedeutet, dass es mehrere Zertifikate von unterschiedlichen Zertifizierungsstellen für den gleichen Host- bzw. Domain-Namen geben kann. Beispielsweise kann sich ein Angreifer für einen Man-in-the-Middle-Angriff ein gültiges Zertifikat ausstellen lassen, obwohl er nicht der Inhaber der Domain oder des Hosts ist. Der Angreifer könnte sich dann mit dem "gefälschten" Zertifikat als Server ausgeben, der er gar nicht ist (Identitätsdiebstahl) und sogar eine verschlüsselte Verbindung zwischen Client und Server übernehmen.
Wenn jetzt ein Zertifikat eines bestimmten Hosts an eine bestimmte Zertifizierungsstelle gebunden ist, dann fällt bei der Zertifikatsprüfung auf, dass das Zertifikat von einer fremden Zertifizierungsstelle unterschrieben ist. In dem Fall muss das Zertifikat als ungültig angesehen werden.
Wie sicher ist CA-Pinning?
CA-Pinning ersetzt nicht die Zertifikats-Validierung von SSL bzw. TLS, sondern ist ein zusätzlicher Teil der Validierung, um die Vertrauenswürdigkeit eines Zertifikats zu erhöhen. Mechanismen wie CA-Pinning erhöhen die Vertrauenswürdigkeit von Zertifikaten, sind allerdings noch nicht weit genug verbreitet, um einen effektiven Schutz zu bieten.