questel_logo
closeSchließen
Mehr
    • Weiterbildung und Unterstützungmenu-bracket
          • Webinare und Veranstaltungenmenu-bracket
          • Produktschulungenmenu-bracket
          • Produktneuigkeitenmenu-bracket
          • Soziale Verantwortung der Unternehmenmenu-bracket
          • IP-Schulungmenu-bracket
    • Über Questelmenu-bracket
      • Karrieremenu-bracket
        • Login-Seitemenu-bracket
        DE
        questel-menu
        Neue CAA-Funktionalität für S/MIME: Was Sie wissen müssen
        Blogeintrag / Veröffentlicht, 11. Dezember 2024

        Neue CAA-Funktionalität für S/MIME: Was Sie wissen müssen

        overview

        Im Januar dieses Jahres hat sich das CA/Browser Forum auf die Erweiterung von CAA-Records geeinigt. Andreas Soll erklärt, was sich geändert hat.

        Seit September steht ein neuer CAA-Record „issuemail“ zur Verfügung, um die Ausstellung von S/MIME-Zertifikaten zu steuern. Die neuen CAA-Funktionalitäten für S/MIME wurden im RFC 9495 formalisiert.

        • Was ist ein CAA-Eintrag?

        Certification Authority Authorization (CAA)-Einträge sind eine Art von Domain Name Server (DNS)-Ressourceneintrag, der es Domänenbesitzern ermöglicht, die Ausstellung von SSL/TLS-Zertifikaten auf bestimmte Zertifizierungsstellen (CAs) zu beschränken.

        • Was ist S/MIME?

        S/MIME-Zertifikate werden häufig als E-Mail-Signaturzertifikate oder persönliche Authentifizierungszertifikate bezeichnet. Sie bieten End-to-End-Verschlüsselung für MIME-Daten wie E-Mail-Nachrichten und gewährleisten Absenderauthentifizierung, Nachrichtenintegrität, Vertraulichkeit und Datensicherheit.

        • Welche Auswirkungen hat die neue „issuemail“-CAA?

        Mit der Einführung von S/MIME-Basisanforderungen in CAA-Einträgen können nun standardisierte Anforderungen für die Ausstellung von S/MIME-Zertifikaten definiert werden. Dies bedeutet, dass Sie nun die CA (Certificate Authority) einschränken oder die Ausstellung von S/MIME-Zertifikaten sogar vollständig verbieten können.

        • Ich finde diese Funktion bei meinem Anbieter nicht – wann wird sie verfügbar sein?

        Questel hat diese Funktionalität bereits implementiert und stellt sie den Kunden unserer Corporate Domain Services ab sofort zur Verfügung. Andere DNS-Anbieter müssen sie bis zum 15. März 2025 implementieren. Ab diesem Datum ist die Unterstützung der Funktionalität obligatorisch.

        • Wie sieht die Aufzeichnung aus?

        Zusätzlich zu den bestehenden CAA-Tags wie issue, issuewild und iodef wird jetzt der neue Issuemail-Tag verwendet, um die Ausstellung von S/MIME-Zertifikaten zu steuern. Der Datensatz könnte folgendermaßen aussehen:

        example.com CAA 0 issuemail "IhreZertifikatsbehörde.com"

        In diesem Beispiel darf nur die Zertifizierungsstelle yourcertificateauthority.com S/MIME-Zertifikate ausstellen.

        Wenn Sie die Ausstellung von Zertifikaten vollständig unterbinden möchten, können Sie dies mit der folgenden Konfiguration erreichen:

        example.com CAA 0 Issuemail ";"

        In diesem Beispiel darf niemand ein S/MIME-Zertifikat für die Domäne example.com ausstellen.

        Für weitere Informationen zu den Änderungen wenden Sie sich bitte an das Questel Domains Team.

        Über den Autor
        null Andreas Soll
        Andreas Soll
        ist Manager für Unternehmen Domain Name Services bei Questel.