Anbieter Commodo ist mal wieder aufgefallen, weil er ein SSL-Zertifikat ausgestellt hat, das so nicht hätte ausgestellt werden dürfen – wenige Tage, nachdem neue Regeln (CAA-Records-Prüfung) für die Ausstellung von Zertifikaten gelten.
Anzeige
Neu: CA-Stellen müssen CAA-Records prüfen
Da in der Vergangenheit Schindluder getrieben wurde, müssen Zertifizierungsstellen die sogenannten CAA-Records überprüfen. Dort wird u.a. festgelegt, welche Zertifizierungsstellen SSL-Zertifikate für eine Domain ausstellen dürfen.
Ein neuer CAA DNS-Eintrag (das CAA steht für Certificate Authority Authorization) ermöglicht es dem Inhaber einer Domain festzulegen, welche Zertifizierungsstellen er zulässt. Das Ganze ist im 2013 verabschiedeten CAA-Standard RFC 6844 geregelt.
In der Vergangenheit war die Überprüfung der CAA DNS-Records für die Zertifizierungsstellen nicht verpflichtend. Das hat sich aber gerade geändert. Das CA/Browser-Forum hatte nach dieser Abstimmung am 8. März 2017 beschlossen, dass ab dem 8. September 2017 die CAA DNS-Records verpflichtend vor der Ausstellung eines SSL-Zertifikats zu überprüfen seien.
Commodo prüft (noch) nicht
Ein Zertifikatsaussteller ist Commodo, die in der oben verlinkten Abstimmung explizit aufgeführt sind und auf ihrer Webseite angeben, bereits seit mindestens einem Jahr diese CAA-Records-Überprüfung durchzuführen. Allerdings ist Commodo mir in der Vergangenheit bereits mehrfach durch 'Unregelmäßigkeiten' bei Zertifikaten aufgefallen.
Anzeige
Softwareentwicker Michael Kliewe von mail.de ist vor Wochen bereits aufgefallen, dass Commodo, trotz gegenteiliger Behauptungen auf den eigenen Webseiten, die CAA-Records nicht wirklich überprüft. Jedenfalls konnte man bei Commodo ein SSL-Zertifikat ausstellen lassen, welches für die Domain nicht zulässig ist.
Nachdem diese Überprüfung ab dem 8. September 2017 verpflichtend ist, hat Hanno Böck daher überprüft, ob Commodo endlich diese Prüfung durchführt und die Vorgaben im CAA DNS-Record einhält. Wie Hanno Böck bei Golem.de in diesem Artikel schreibt, stellte Commodo das betreffende TSL-Zertifikat anstandslos aus, obwohl dieses nicht zulässig war. Auch bei anderen Zertifizierungsstellen scheint die Umsetzung noch nicht korrekt erfolgt zu sein. (via)
Anzeige