Seit 19. August 2020 stellt SECTIGO alle SSL Zertifikate mit einer maximalen Laufzeit von 398 Tagen (13 Monate) aus, um den Vorgaben des CA/Browser Konsortiums gerecht zu werden. SSL Zertifikate mit längerer Laufzeit müssen jeweils nach einem Jahr kostenlos neu ausgestellt werden (Erinnerung per E-Mail). SSL Zertifikate mit Ausstellung vor 19. August 2020 bleiben bis zum geplanten Ablaufdatum gültig. Code Signing und S/MIME Zertifikate sind von der neuen Regelung nicht betroffen und bleiben ebenfalls bis zum geplanten Ablaufdatum gültig.

Wieso erhalte ich einen PRE-SIGN FAILED Fehler? Was ist ein CAA DNS Eintrag? Certification Authority Authorization (CAA) Resource Record

Der Certificate Authority Authorization (CAA) DNS Eintrag erlaubt es dem DNS Domaininhaber genau festzulegen, welche Zertifizierungsstelle (CA - Certificate Authority) für die Domain Zertifikate ausstellen darf.
 
So soll die Sicherheit erhöht werden, indem SSL Zertifikatsmißbrauch erschwert wird. So könnte im Falle einer MITM (Man-in-the-middle) Attacke ein Angreifer nicht ein gefälschtes SSL Zertifikat einer X-beliebigen Zertifizierungsstelle für die selbe Domain ausstellen, sondern es werden nur SSL Zertifikate der im DNS CAA Eintrag angegebenen SSL Zertifikate erlaubt.

Ihren CAA Eintrag können Sie hier überprüfen:
https://dnsspy.io/labs/caa-validator


Wenn Sie mehrere CAs erlauben möchten, werden mehrere CAA Einträge angelegt, jeweils für eine CA. Der Wert für SECTIGO (ehemals COMODO) lautet "sectigo.com" (früher: comodoca.com), der Wert für DIGICERT / GEOTRUST lautet "digicert.com"

beispieldomain.com. 21050 IN CAA 0 issue "sectigo.com"

beispieldomain.com. 21050 IN CAA 0 issuewild "sectigo.com"

beispieldomain.com. 21050 IN CAA 0 issue "digicert.com"

beispieldomain.com. 21050 IN CAA 0 issuewild "digicert.com"

 
Bitte beachten Sie, dass für die Austellung eines Wildcard Zertifikats BEIDE Einträge (issue und issuewild) vorhanden sein müssen!
 

Das Dokument RFC 6844 beschreibt die Syntax für den CAA Eintrag und die dazugehörigen Verabeitungsregeln. 

Details in RFC 6844 anzeigen:
https://tools.ietf.org/html/rfc6844


War diese Antwort hilfreich?

 Artikel drucken

Lesen Sie auch

Ist die SSL Ausstellung für .cu (Cuba) und .ir (Iran) Domains möglich?

SECTIGO / COMODO: nein, leider keine Ausstellung möglich. DIGICERT / GEOTRUST: nein, leider...

PCI Compliance (Payment Card Industry Compliance)

PCI steht für Payment Card Industry Standard für Datensicherheit und wird vom PCI Security...

PDF Dokumente mit Adobe Acrobat signieren (SMIME, S/MIME)

Um in Adobe Acrobat eine Signatur zu platzieren, klicken Sie auf Anzeige -> Werkzeuge ->...

SSL Zertifikat für Elopage: Beantragung und Installation

InterSSL hat bereits viele Kunden mit SSL Zertifikaten beliefert, die eine Elopage betreiben....

Windows Azure Website: CSR Erstellung und SSL Installation

DigiCert stellt eine Anleitung für die CSR Erstellung und SSL Installation unter Windows Azure...