SSL信息
新的CAA(Certificate Authority Authorization)标准于本月8日上线,而就在新规上线的第二天,某德国籍安全研究员爆出Comodo破坏规定并误发了证书。
CAA允许网站拥有者指明哪些证书颁发机构可以为他们颁发证书。 网站所有者可以通过在DNS条目中添加文本字段来为其域设置CAA规则,如下所示:
sslchina.com. CAA 0 issue "xxxx.com"
这个小规则告诉任何证书颁发机构,只有xxxx可以为sslchina.com域发出SSL证书。
Comodo颁发SSL证书 无视CAA规定
根据CA /B论坛在Ballot 187中批准的CAA标准的规定,今年四月,Comodo等证书机构必须在发出新的SSL证书之前先检查DNS记录中的CAA字段。
星期一,德国安全研究员HannoBöck向信息社区透露,即使CAA领域限制SSL发行仅限于Let's Encrypt,他也为自己的网站从Comodo获得了SSL证书,现已被撤销。Böck表示,他在上周六获得证书,也就是CAA检查在9月8日星期五成为强制性的第二天。
“我最初是从邮件提供商mail.de的Michael Kliewe那里得知Comodo缺少CAA检查的,”Böck在邮件列表中写道。 “但那是CAA成为强制性之前。”他补充道:“而今我已从多位其他人口中确认并证实了这一点。”
“现在看来,Comodo根本没有检查CAA。”
有趣的是,Comodo官方表示,该公司完全符合新CAA的要求。那么事实是否真的如此呢?让我们静待解释。
稿源:bleeping computer