CAA新标准生效第一日,Comodo被爆违规签发证书
发布日期:2017-09-18新的CAA(Certificate Authority Authorization)标准于本月8日上线,而就在新规上线的第二天,某德国籍安全研究员爆出Comodo破坏规定并误发了证书。
CAA允许网站拥有者指明哪些证书颁发机构可以为他们颁发证书,网站所有者可以通过在DNS条目中添加文本字段来为其域设置CAA规则,如下所示:
xxx.com. CAA 0 issue "wotrus.com"
这个小规则告诉任何证书颁发机构,只有wotrus可以为xxx.com域颁发SSL证书。
Comodo颁发SSL证书无视CAA规定
根据CA /B论坛在Ballot 187中批准的CAA标准的规定,今年四月,Comodo等证书机构必须在发出新的SSL证书之前先检查DNS记录中的CAA字段。
星期一,德国安全研究员HannoBöck向信息社区透露,即使CAA领域限制SSL发行仅限于Let's Encrypt,他也为自己的网站从Comodo获得了SSL证书,现已被撤销。
Böck表示,他在上周六从Comodo获得了SSL证书,也就是CAA检查在9月8日星期五成为强制性的第二天。
“我最初是从邮件提供商mail.de的Michael Kliewe那里得知Comodo缺少CAA检查的”Böck在邮件列表中写道“但那是CAA成为强制性之前”。
他补充道“而今我已从多位其他人口中确认并证实了这一点”,“现在看来,Comodo根本没有检查CAA”。
有趣的是,Comodo官方表示,该公司完全符合新CAA的要求,那么事实是否真的如此呢?让我们静待解释。
相关资讯:
CA浏览器论坛投票发布证书颁发机构授权(CAA)标准,SSL / TLS证书在颁发之前必须执行CAA强制性检查,作为防止HTTPS证书错误签发的安全措施。
CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为其证书颁发标准的基本要求之一,这项措施将在2017年9月正式生效。
强制CAA检查,避免证书误签发发布日期:2017-04-12 证书颁发机构授权(CAA)是一种可选的安全措施,网站运营商可以使用这些措施来保护其域名免于错误发布。它允许域...
CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。