Tests für CAA laufen an

Gesicherte Seiten werden häufig durch sogenannte böswillige "man-in-the-middle" Organisationen ausspioniert. Diese geben für eine aufgerufene Webseite vor, die tatsächliche Webseite zu sein und schützen diese ggfs. noch mit einem Zertifikat. Dieses Zertifikat ist aber in den seltensten Fällen ein Zertifikat einer Zertifizierungsstelle, das die tatsächliche Webseite im Einsatz hat. Da häufig staatliche Stellen hinter den "man-in-the-middle" Aktivitäten stehen, können durch Betrug Zertifizierungsstellen vermeintlich zu so einer Ausstellung bewogen werden, indem z.B. Validierungsemails abgefangen werden.

CAA zwingt als neue Regelung alle Zertifizierungsstellen vor der Ausstellung neuer Zertifikate im DNS Eintrag nachzusehen, ob dort ihre Zertifizierungsstelle als zugelassener Herausgeber von Zertifikaten gelistet ist. Sollte das nicht der Fall sein, so darf das Zertifikat nicht ausgestellt werden. Das Verfahren wird im Herbst diesen Jahres zur Pflicht. Derzeit testet SwissSign schon an einigen Zertifikatstypen das Verhalten. Sofern es im DNS keinen CAA Eintrag gibt oder "swisssign.com" eingetragen ist, kann das Zertifikat ausgestellt werden. Sofern ein anderer Eintrag eingetragen ist, der nicht "swisssign.com" enthält, kann es bei der Ausstellung zu Schwierigkeiten kommen. Kontaktieren Sie uns in diesem Fall.

In Kürze werden wir auch bequeme weitere Hinweise bereitstellen, wie so ein CAA Eintrag durchgeführt werden kann.