CAA-Einträge im DNS werden ab September 2024 auch bei der Ausstellung von E-Mail-Zertifikaten geprüft.
Da die meisten Kunden keine CAA-Records gesetzt haben, wird es keine oder nur wenige Kunden betreffen. Bis anhin wurden CAA-Einträge nur für SSL Zertifikate geprüft. Gerne weisen wir daher auf die folgende Änderung bezüglich CAA-Einträge im DNS hin:
Was muss ich als Kunde tun?
In den meisten Fällen wir Ihrerseits keine Anpassung nötig sein, ausser Sie haben einen CAA-Eintrag im DNS mit issuemail-Eintrag gemacht. In diesem Fall müssen Sie diesen gegebenenfalls so ergänzen, dass er den Eintrag «swisssign.com» enthält, also z.B. ‘mail.client.example CAA 0 issuemail “swisssign.com”‘.
Wenn Sie überprüfen möchten, ob CAA-Einträge für Ihre Domain bestehen und ob “swisssign.com” darin bereits enthalten ist, so kann dies mittels NSlookup sehr einfach überprüft werden: https://www.nslookup.io/caa-lookup/
Hintergrund
DNS Certification Authority Authorization (CAA) verwendet das Domain Name System (DNS). CAA soll dem Besitzer einer Domain ermöglichen, gewisse Zertifizierungs-Stellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA-Einträge im DNS sind optional.
Technische Details finden Sie unter IETF RFC 8659 und IETF RFC 9495.
Was ist neu?
SwissSign prüft bereits heute CAA-Einträge bei der Ausstellung von SSL-/TLS-Zertifikaten. Neu werden ab September 2024 auch CAA-Einträge bei der Ausstellung von E-Mail- bzw. S/MIME-Zertifikaten gemäss neuem IETF RFC 9495 geprüft (technisch: die «issuemail-Property»).
Dabei gilt es zu beachten: CAA-Einträge für die Ausstellung von TLS- und von E-Mail-Zertifikaten sind unabhängig voneinander. Ein CAA-Eintrag für TLS gilt nicht für S/MIME und umgekehrt.
