Controle CAA records bij uitgifte SSL verplicht vanaf september

Vanaf 8 september 2017 wordt het controleren op aanwezigheid van een Certificate Authority Authorization (CAA) record verplicht bij de uitgifte van SSL-certificaten. Met een CAA record geef je aan welke certificaat autoriteiten (CA’s) toestemming hebben om certificaten voor een specifiek domein uit te geven. Zo voeg je een extra laag veiligheid toe aan je domein. Wat heb je als domein – en website eigenaar aan CAA en hoe stel je het in?

Waarom CAA records?

Een CAA record is een nieuw type record, naast de bekende records zoals CNAME, A, en MX die je kunt beheren in het DNS. In één of meerdere CAA records kun je aangeven welke CA-rootcertificaten gebruikt mogen worden om certificaten mee te ondertekenen voor jouw domein. Je bepaalt hiermee dus zelf welke CA’s certificaten mogen uitgeven voor jou domein.

Tot nu toe was het voor iedere CA mogelijk een certificaat uit te geven voor elk domein, mits de aanvrager de validatiestappen met succes kan doorlopen. In enkele gevallen had dit frauduleuze SSL-certificaten als gevolg. Hoewel het belang van CAA in 2013 al gezien werd, en ook gestandaardiseerd werd, was het voor CA’s nooit verplicht dit record te controleren. Daardoor was het nut van CAA niet erg groot. Na overleg tussen de verschillende certificaatautoriteiten, zijn zij nu tot de conclusie gekomen dat CAA verplicht moet zijn. Om die reden zullen alle CA’s vanaf 8 september 2017 verplicht gaan controleren of er een CAA record aanwezig is.

Zelf een oogje in het zeil houden

Certificaatautoriteiten zullen bij de aanvraag van een ‘fout’ of frauduleus SSL-certificaat een ‘alert’ sturen naar het opgegeven mailadres, zo kun je zelf een oogje in het zeil houden ter preventie van valse certificaat uitgiftes.

Hoe stel ik CAA records in?

CAA is een uniek DNS record type, waarvoor ondersteuning vanuit de DNS-beheerder vereist is. In veel gevallen zijn dit de registrar (de partij waar je domein is geregistreerd) of de hostingpartij waar je website is ondergebracht. Je kunt als domeineigenaar meestal meerdere CAA records instellen.

Door gebruik van het CAA record kunnen CA’s gemakkelijk contact opnemen met de domeineigenaar, als een certificaat aanvraag niet lukt omdat het CAA record niet overeenkomt. Door het opgeven van de `mailto` waarde binnen het CAA record, is een CA in staat een e-mail te sturen naar het opgegeven adres bij een aanvraag die extra actie vereist. Vanzelfsprekend raden wij dit met klem aan.

CAA met DNSSEC

DNS is in de kern een onveilig systeem omdat het in theorie mogelijk is voor onbevoegden om DNS records aan te passen. DNSSEC is een extra beveiligingslaag waarmee je dit kunt voorkomen, door een digitale handtekening te koppelen aan een bepaalde ‘DNS zone’. Hierdoor kan de geldigheid van DNS structureel gecontroleerd worden om misbruik te voorkomen. Bij het gebruik van CAA records groeit het belang van een veilig DNS. Als hackers in staat zijn de DNS aan te passen, verliest CAA zijn waarde omdat de CAA records dan ook gemakkelijk aangepast kunnen worden.

Door het gebruik van CAA in combinatie met DNSSEC ben je verzekerd van een veilige omgeving. Hoewel DNSSEC geen verplichting is voor het gebruik van CAA, is deze combinatie dus wel sterk aan te raden.

CAA met Certificate Transparency

Certificate Transparency (CT) is een initiatief van Google waarbij de Chrome browser in CT logs alle uitgegeven SSL certificaten bijhoudt. Op deze manier wordt er bij ieder websitebezoek gecontroleerd of er wel het juiste certificaat van de juiste CA gebruikt wordt. CAA is hier een mooie aanvulling op: beide controlemechanismen hebben hetzelfde doel, waarbij CAA dit voor een certificaat uitgifte doet, en CT erna.

Kortom

Het gebruik van CAA records voegt extra maar ook hoognodige beveiliging toe. Wanneer je CAA records gebruikt samen met DNSSEC en andere controlemechanismen, is je online omgeving per definitie een stuk veiliger en beter bestand tegen kwaadwillenden.