Cybersecurity für den Mittelstand: Jeden Mittwoch, 16 Uhr

Certification Authority Authorization

Inhalt

Mit Hilfe der Certification Authority Authorization (CAA) können Domaininhaber bestimmen, welche Zertifizierungsstellen Zertifikate für Ihre Domains ausstellen dürfen. Dieses Verfahren wird auch als CA-Pinning bezeichnet. Offiziell geregelt wird dies in der RFC-6844.

Der Hintergrund für den Einsatz von CAA ergibt sich daraus, dass SSL/TLS-Zertifikate generell von unterschiedlichen Zertifizierungsstellen ausgestellt werden können. Für eine Domain können so mehrere Zertifikate von verschiedenen Zertifizierungsstellen ausgestellt werden. Diese Eigenschaft können sich potenzielle Angreifer zunutze machen, mit einer „Man-in-the-Middle“-Attacke und gefälschten Zertifikat als vertrauenswürdigen Server aufzutreten.

Durch das Binden von Zertifikaten an eine bestimmte Zertifizierungsstelle wird nun ein fremdes Zertifikat nicht mehr akzeptiert und bei der Zertifikatsprüfung als ungültig bewertet.

Die Certification Authority Authorization ist somit als ein wesentlicher Bestandteil der Validierung von Zertifikaten anzusehen, um die Vertrauenswürdigkeit von Zertifikaten nachhaltig zu erhöhen.

Schreiben Sie uns

 

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Enginsight Logo