Kategorie: 
Translate EN
Im Rahmen einer Überprüfung einer Serververöffentlichung mittels des Qualys SSL Server Test ist dem einen oder anderen vielleicht schon der Punkt CAA Record aufgefallen.
Mittels des weiterführenden Links können weitere Infos über diesen neuen Resource Record abgerufen werden. Wer es ganz genau wissen will, kann sich das entsprechende RFC 6844 durchlesen (https://tools.ietf.org/rfc/rfc6844.txt). Eine deutschsprachige gut verständliche Zusammenfassung gibt es hier: https://gnuheidix.de/archives/64-DNS-CAA-Resource-Record.html
„Der CAA RR ist im RFC6844 beschrieben und definiert, dass man im DNS hinterlegen kann, welche CA einem ein Zertifikat ausstellen darf …“
Unter https://sslmate.com/labs/caa/ befindet sich ein Syntax-Generator, welcher für die Kombination der eigenen Domain und diverser Zertifizierungsstellen die entsprechenden CAA Ressource Records erstellt. Das Ergebnis sieht dann etwa folgendermaßen aus:
So weit, so einfach. Interessant wird es, wenn man versucht, diese Einträge in einen Windows Server 2016 DNS zu bekommen.
Windows 2016 unterstützt mittels RFC 3597 Syntax das Anlegen unbekannter Einträge (unknown records).
https://docs.microsoft.com/en-us/windows-server/networking/dns/what-s-new-in-dns-server
„Unknown record support
An „Unknown Record“ is an RR whose RDATA format is not known to the DNS server. The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. The windows caching resolver already has the ability to process unknown record types. Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.“
Damit hat sich aber auch schon mehr oder weniger die komplette Dokumentation dieses Features erledigt. Es ist naheliegend, dass sich das Eintragen solcher Resource Records mittels Powershell erledigen lässt. Da sich offenbar kaum jemand einen DNS Server mit Windows für die public DNS Zone „hält“, findet sich aber auch nach längerer Recherche leider kein Beispiel oder Ähnliches. Deswegen hier kurz die Powershell-Syntax, sollte man selbst vor diesem Problem stehen.
Add-DnsServerResourceRecord -Name faq-o-matic.net -RecordData 0005697373756564696769636572742E636F6D -Type 257
Ich habe keinen Weg gefunden, diese Art Einträge mittels der DNS-Konsole anzulegen, aber wenn sie mittels Powershell oder Editieren des Zonenfiles erstmal erzeugt sind, sieht das in der GUI folgendermaßen aus.
Das Ergebnis sieht dann so aus wie auf dem folgenden Screenshot.
Wer allerdings keinen eigenen DNS-Server betreibt, muss wohl noch eine Weile warten, bis die ganzen DNS-Hoster eine entsprechende Funktion direkt in der GUI ihrer Adminoberfläche oder zumindest mittels Support anbieten. Nachfolgend eine kleine Aufstellung meiner Nachfragen und Recherchen, die natürlich keinen Anspruch auf Vollständigkeit erheben. Sollten Ergänzungen oder Korrekturen benötigt werden, bitte ich um eine kurze Benachrichtigung über https://www.faq-o-matic.net/impressum/
- All-inkl.com – mittlerweile hat der Provider seine CAA-Unterstützung umgesetzt und bietet eine Anleitung dafür: https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/caa-record_501.html.
- DomainFactory – im Support Forum findet sich die folgende Aussage: https://www.df.eu/forum/threads/80683-Unterstützung-für-CAA-Records?p=519285&viewfull=1#post519285
- Hosteurope – wird auf Nachfrage bis auf Weiteres diese Einträge nicht unterstützen.
Es bleibt also abzuwarten, wann und welche Provider mitziehen. Ist wohl ähnlich wie beim SPF Record, der auch relativ lange benötigte, bis man ihn endlich setzen konnte.
http://faq-o-matic.net/?p=7888
