5.4. Suppression or Spoofing of CAA Records (Unterdrückung oder Fälschung von CAA-Einträgen)

5.4 Suppression or Spoofing of CAA Records (Unterdrückung oder Fälschung von CAA-Einträgen)

Die Unterdrückung eines CAA-Eintrags oder das Einfügen eines gefälschten CAA-Eintrags könnte es einem Angreifer ermöglichen, von einem nicht autorisierten Aussteller ein Zertifikat für einen betroffenen FQDN zu erhalten.

Wo möglich, SOLLEN Aussteller DNSSEC-Validierung durchführen, um fehlende oder geänderte CAA-RRsets zu erkennen.

Ohne DNSSEC für den FQDN SOLLTE ein Aussteller geeignete DNS-Sicherheitskontrollen einsetzen. Beispielsweise SOLLTE die gesamte Auflösung gegen den autoritativen Nameserver erfolgen. Von Dritten gecachte Daten DÜRFEN nicht alleinige Quelle für CAA-Informationen sein, KÖNNEN aber zusätzliche Anti-Spoofing- oder Anti-Unterdrückungskontrollen unterstützen.

5.4 Suppression or Spoofing of CAA Records (Unterdrückung oder Fälschung von CAA-Einträgen)​

5.4 Suppression or Spoofing of CAA Records (Unterdrückung oder Fälschung von CAA-Einträgen)