Commodo patzt bei CAA-Records-Überprüfung

Anbieter Commodo ist mal wieder aufgefallen, weil er ein SSL-Zertifikat ausgestellt hat, das so nicht hätte ausgestellt werden dürfen – wenige Tage, nachdem neue Regeln (CAA-Records-Prüfung) für die Ausstellung von Zertifikaten gelten.


Werbung



Neu: CA-Stellen müssen CAA-Records prüfen

Da in der Vergangenheit Schindluder getrieben wurde, müssen Zertifizierungsstellen die sogenannten CAA-Records überprüfen. Dort wird u.a. festgelegt, welche Zertifizierungsstellen SSL-Zertifikate für eine Domain ausstellen dürfen.

Ein neuer CAA DNS-Eintrag (das CAA steht für Certificate Authority Authorization) ermöglicht es dem Inhaber einer Domain festzulegen, welche Zertifizierungsstellen er zulässt. Das Ganze ist im 2013 verabschiedeten CAA-Standard RFC 6844 geregelt.

In der Vergangenheit war die Überprüfung der CAA DNS-Records für die Zertifizierungsstellen nicht verpflichtend. Das hat sich aber gerade geändert. Das CA/Browser-Forum hatte nach dieser Abstimmung am 8. März 2017 beschlossen, dass ab dem 8. September 2017 die CAA DNS-Records verpflichtend vor der Ausstellung eines SSL-Zertifikats zu überprüfen seien.

Commodo prüft (noch) nicht

Ein Zertifikatsaussteller ist Commodo, die in der oben verlinkten Abstimmung explizit aufgeführt sind und auf ihrer Webseite angeben, bereits seit mindestens einem Jahr diese CAA-Records-Überprüfung durchzuführen. Allerdings ist Commodo mir in der Vergangenheit bereits mehrfach durch ‘Unregelmäßigkeiten’ bei Zertifikaten aufgefallen.

Softwareentwicker Michael Kliewe von mail.de ist vor Wochen bereits aufgefallen, dass Commodo, trotz gegenteiliger Behauptungen auf den eigenen Webseiten, die CAA-Records nicht wirklich überprüft. Jedenfalls konnte man bei Commodo ein SSL-Zertifikat ausstellen lassen, welches für die Domain nicht zulässig ist.

Nachdem diese Überprüfung ab dem 8. September 2017 verpflichtend ist, hat Hanno Böck daher überprüft, ob Commodo endlich diese Prüfung durchführt und die Vorgaben im CAA DNS-Record einhält. Wie Hanno Böck bei Golem.de in diesem Artikel schreibt, stellte Commodo das betreffende TSL-Zertifikat anstandslos aus, obwohl dieses nicht zulässig war. Auch bei anderen Zertifizierungsstellen scheint die Umsetzung noch nicht korrekt erfolgt zu sein. (via)


Werbung

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.