Ein Google-Projekt für Zertifikatstransparenz: Ausgestellte Zertifikate werden in öffentlich überprüfbare, manipulationsgeschützte Logserver geschrieben, um missbräuchlich oder fehlerhaft ausgestellte TLS/SSL-Zertifikate schneller ermitteln und blockieren zu können. Während dem Zertifikatsausstellungsprozess werden erforderliche CT Logserver kontaktiert. Diese wiederum liefern in ihrer Antwort je einen signierten Zeitstempel (SCT) zurück, die dann im Zertifikat hinterlegt werden und nachweisen, dass das Zertifikat auf einem Logserver registriert wurde.

Die CT-Erweiterung kann auf Kundenwunsch abgewählt werden. Die fehlende CT-Erweiterung reduziert den Funktionsumfang des Zertifikats in manchen Browsern.

CAA ist eine zusätzliche Sicherheitsmaßnahme der Baseline Requirements des CA/Browserforums, um Missbrauch bei der Zertifikatsausstellung zu verhindern.

Der Domaininhaber kann durch die Hinterlegung von CAA Einträgen (Certification Authority Authorization DNS Resource Record) für jeden Fully Qualified Domain Name (FQDN) festlegen, welche Zertifizierungsstelle er für die Zertifikatsausstellung autorisiert ist. Im Rahmen der Auftragsvalidierung prüft die Zertifizierungsstelle alle FQDN des Zertifikatsrequests auf vorhandene CAA Einträge im DNS (CAA Records for Fully Qualified Domain Names).

Die ServerPass Zertifizierungsstelle darf das Zertifikat nur ausstellen, wenn für jeden FQDN eines Zertifikatauftrags

  1. ein CAA Eintrag gefunden wird, dessen issue- bzw. issuewild-Property „telesec.de“ beinhaltet.
  2. kein CAA Eintrag hinterlegt wurde

Um die Auftragsbearbeitung zu beschleunigen, hinterlegen Sie für alle Ihre Domains den issue- bzw. issuewild-Property „telesec.de“.