Welche CAs Zertifikate ausstellen dürfen
DNS & Einträge
DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNSE-Mail-Zustellbarkeit
SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-BerichtsrichtlinieNetzwerk & Web
SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sindDomain
WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNsEin CAA-Record (Certification Authority Authorization) erlaubt einer Domain zu erklären, welche Zertifizierungsstellen Zertifikate für sie ausstellen dürfen. CAs sind durch das CA/Browser Forum verpflichtet, diese Records zu beachten, sodass sie das Risiko einer Fehlausstellung verringern – eine CA, die fälschlich ein Zertifikat für Ihre Domain ausstellt. CAA ist eine einfache, wirkungsvolle Schutzplanke für Ihre TLS-Zertifikate.
Ein CAA-Record benennt eine erlaubte Zertifizierungsstelle über ihre Domain. Vor dem Ausstellen prüft eine konforme CA die CAA-Records Ihrer Domain; existieren Records und nennt keiner diese CA, muss sie ablehnen. Der Record hat drei Teile: ein Flag, einen Tag und einen Wert. Die gängigen Tags sind issue (autorisiert eine CA, Standardzertifikate auszustellen), issuewild (steuert speziell Wildcard-Zertifikate) und iodef (eine URL oder mailto, wo CAs Richtlinienverstöße melden). Zum Beispiel erlaubt issue "letsencrypt.org" nur Let's Encrypt das Ausstellen.
IPeek listet die CAA-Records der Domain auf, jeweils mit Tag und Wert. Lesen Sie die issue-Tags, um zu sehen, welche CAs autorisiert sind – ein Wert wie "letsencrypt.org" oder "digicert.com" benennt die zulässige Stelle. Ein issuewild-Tag beschränkt, wer Wildcard-Zertifikate ausstellen darf. Ein issue-Wert von ";" (Semikolon) bedeutet, dass überhaupt keine CA autorisiert ist. Hat die Domain keine CAA-Records, darf jede öffentliche CA ausstellen, was der permissive Standard ist. Prüfen Sie, dass die gelisteten CAs zu den Anbietern passen, die Sie tatsächlich für Zertifikate nutzen.
Ohne CAA kann jede von Dutzenden öffentlicher Zertifizierungsstellen ein Zertifikat für Ihre Domain ausstellen, sodass eine einzige kompromittierte oder getäuschte CA ausreicht, damit ein Angreifer ein gültiges Zertifikat erhält. CAA verengt diese Angriffsfläche auf nur die CAs, die Sie benennen. Da das CA/Browser Forum vorschreibt, dass CAs vor dem Ausstellen CAA prüfen, ist der Schutz branchenweit durchgesetzt. Fügen Sie den iodef-Tag hinzu, und autorisierte CAs können Sie über versuchte Richtlinienverstöße benachrichtigen – ein Frühwarnsignal, wenn jemand versucht, ein Zertifikat zu erhalten, das er nicht erhalten sollte.
Ohne CAA-Record darf jede öffentlich vertrauenswürdige Zertifizierungsstelle Zertifikate für die Domain ausstellen – der permissive Standard. Das Hinzufügen von CAA-Records beschränkt die Ausstellung auf nur die von Ihnen gelisteten CAs. Wenn es Ihnen wichtig ist, welche Stellen Ihre Domain zertifizieren können, veröffentlichen Sie CAA-Records; andernfalls bleibt die Ausstellung allen konformen CAs offen.
Das sind die drei Standard-CAA-Tags. issue autorisiert eine benannte CA, reguläre Zertifikate auszustellen, issuewild steuert speziell die Ausstellung von Wildcard-Zertifikaten, und iodef gibt eine URL oder mailto-Adresse an, wo CAs versuchte Richtlinienverstöße melden. issue plus iodef zu verwenden beschränkt sowohl, wer Ihre Domain zertifizieren kann, als auch warnt Sie vor Verstößen.
Ja. Nach den Regeln des CA/Browser Forums sind öffentlich vertrauenswürdige CAs verpflichtet, die CAA-Records einer Domain vor dem Ausstellen zu prüfen, und müssen ablehnen, wenn die Records sie nicht autorisieren. Das macht CAA zu einer durchgesetzten Kontrolle statt einer Empfehlung. Es stoppt kein bereits ausgestelltes Zertifikat, blockiert aber neue Fehlausstellungen durch konforme Stellen.
Veröffentlichen Sie einen separaten CAA-issue-Record für jede Stelle, die Sie zulassen möchten. Zum Beispiel autorisiert ein Record mit issue "letsencrypt.org" und ein weiterer mit issue "digicert.com" beide. CAs prüfen, ob irgendein Record sie nennt, sodass mehrere issue-Records die Menge der erlaubten Stellen einfach erweitern, während sie alle anderen weiterhin ausschließen.
Ja, dafür ist der issuewild-Tag da. issuewild regelt, wer Wildcard-Zertifikate (wie *.example.com) ausstellen darf, und überschreibt den einfachen issue-Tag für Wildcards. Sie könnten einer CA erlauben, reguläre Zertifikate auszustellen, aber Wildcards beschränken oder untersagen, oder umgekehrt, indem Sie issue- und issuewild-Records entsprechend kombinieren.