/ Security

Certification Authority Authorization

Mit Hilfe der Certification Authority Authorization (CAA) können Domaininhaber bestimmen, welche Zertifizierungsstellen Zertifikate für Ihre Domains ausstellen dürfen. Dieses Verfahren wird auch als CA-Pinning bezeichnet. Offiziell geregelt wird dies in der RFC-6844.

Der Hintergrund für den Einsatz von CAA ergibt sich daraus, dass SSL/TLS-Zertifikate generell von unterschiedlichen Zertifizierungsstellen ausgestellt werden können. Für eine Domain können so mehrere Zertifikate von verschiedenen Zertifizierungsstellen ausgestellt werden. Diese Eigenschaft können sich potenzielle Angreifer zunutze machen, mit einer "Man-in-the-Middle"-Attacke und gefälschten Zertifikat als vertrauenswürdigen Server aufzutreten.

Durch das Binden von Zertifikaten an eine bestimmte Zertifizierungsstelle wird nun ein fremdes Zertifikat nicht mehr akzeptiert und bei der Zertifikatsprüfung als ungültig bewertet.

Die Certification Authority Authorization ist somit als ein wesentlicher Bestandteil der Validierung von Zertifikaten anzusehen, um die Vertrauenswürdigkeit von Zertifikaten nachhaltig zu erhöhen.

Schreiben Sie uns