Ab dem 23.2.2018 werden im RWTH Domain Name Server (DNS) Certification Authority Authorization (CAA) Resource Records (RR) nach RFC6844 [1] eingeführt.

CAA Records bieten dem Besitzer einer Domain die Möglichkeit, definierte Zertifizierungsstellen (CAs) dazu zu berechtigen, X.509 Zertifikate (auch als SSL-Zertifikate bekannt) für Host(s) unterhalb der Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate an Unberechtigte ausgestellt werden. Voraussetzung hierfür ist, dass die Zertifizierungsstelle die CAA Records prüft. Seit September 2017 sind Zertifizierungsstellen, die im CA/Browser Forum teilnehmen, verpflichtet, CAA Records bei der Erstellung des Zertifikates zu prüfen [2].

Was heißt dies praktisch für einen Serveradministrator?

1. CAA Records für den Hostnamen (FQDN) seines Servers im DNS setzen/prüfen.
2. Zertifikatsantrag (CSR) generieren und an eine im CAA Record definierte CA schicken.
3. Insbesondere, wenn ein Zertifikat außerhalb der DFN-PKI beantragt wird, ist Schritt 1 notwendig.

Für CAA Records innerhalb der Domains, die den RWTH-Nameservern delegiert sind, gelten folgende Regelungen:

• Die DFN-PKI ist für alle Zonen (Domains) per default erlaubt (d.h. die CAA Records sind bereits vom RWTH-Hostmaster eingepflegt).
• DNS-Administratoren können über das „noc-portal“-Tool „DNS-Admin“ weitere CAA Records pro Host setzen [3].
• DNS-Administratoren, die keine Rechte für das „DNS-Admin“-Tool haben, können das Eintragen von CAA Records für FQDNs in deren Zone(n) an den RWTH-Hostmaster (hostmaster@rwth-aachen.de) oder die RWTH CA (ca@rwth-aachen.de) oder an das IT-ServiceDesk (servicedesk@itc.rwth-aachen.de) per E-Mail adressieren.
• Die Liste der zur Auswahl stehenden CAs wird von der RWTH CA gepflegt. Aktuell beinhaltet diese Liste die Auswahl an CAs, die derzeit Zertifikate ausgestellt haben (digicert.com, globalsign.com, letsencrypt.org, pki.dfn.de, telesec.de). Diese CAs haben wir über Cert Spotter ermittelt [4].
• Bereits ausgestellte Zertifikate sind nicht betroffen, da CAA Records nur bei der Ausstellung eines Zertifikates zur Beachtung kommen.
• CAA Records mit Eigenschaft „issuewild“ sind nur für Hosts erlaubt und können auf Antrag an die RWTH CA (ca@rwth-aachen.de) eingepflegt werden.
• Wegen des hierarchischen Aufbaus greift ein spezifischer Host-Eintrag vor dem Zonen-Eintrag.

Eine Abfrage erfolgt bspw. via

bzw. wenn ein spezifischer Eintrag existiert

Fragen und Anregungen können Sie gerne an "ca@rwth-aachen.de" oder "hostmaster@rwth-aachen.de" adressieren.

[1]          https://tools.ietf.org/html/rfc6844

[2]          https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/

[3]          https://noc-portal.rz.rwth-aachen.de/dns-admin/

[4]          https://sslmate.com/certspotter/