CAA für E-Mail-Zertifikate ab September 2024

CAA-Einträge im DNS werden ab September 2024 auch bei der Ausstellung von E-Mail-Zertifikaten geprüft.

Gerne weisen wir auf die folgende Änderung bezüglich CAA-Einträge im DNS hin:

Hintergrund

DNS Certification Authority Authorization (CAA) verwendet das Domain Name System (DNS). CAA soll dem Besitzer einer Domain ermöglichen, gewisse Zertifizierungs-Stellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA-Einträge im DNS sind optional.
Technische Details finden Sie unter IETF RFC 8659 und IETF RFC 9495.

Was ist neu?

SwissSign prüft bereits heute CAA-Einträge bei der Ausstellung von SSL-/TLS-Zertifikaten. Neu werden ab September 2024 auch CAA-Einträge bei der Ausstellung von E-Mail- bzw. S/MIME-Zertifikaten gemäss neuem IETF RFC 9495 geprüft (technisch: die «issuemail-Property»).

Dabei gilt es zu beachten: CAA-Einträge für die Ausstellung von TLS- und von E-Mail-Zertifikaten sind unabhängig voneinander. Ein CAA-Eintrag für TLS gilt nicht für S/MIME und umgekehrt.

Was muss ich als Kunde tun?

In den meisten Fällen wir Ihrerseits keine Anpassung nötig sein, ausser Sie haben einen CAA-Eintrag im DNS mit issuemail-Eintrag gemacht. In diesem Fall müssen Sie diesen gegebenenfalls so ergänzen, dass er den Eintrag «swissssign.com» enthält, also z.B. 'mail.client.example      CAA 0 issuemail "swisssign.com"'.

Für Rückfragen stehen wir gerne zur Verfügung.

 

Freundliche Grüsse

Ihr SwissSign-Team