9月8日,在CAA(证书颁发机构授权)标准成为必须的一天之后,一名德国安全研究人员发现,Comodo违反了规定,并发布了一份不应该发布的SSL证书。
CAA允许网站所有者指定允许证书颁发机构(CA)以其名称颁发证书。网站所有者可以通过在DNS条目中添加文本字段来为其域设置CAA规则,如下所示:
bleepingcomputer.com. CAA 0 issue "symantec.com"
这个小规则告诉任何证书颁发机构,只有Symantec可以为BleepingComputer.com域发出SSL证书。
为什么要强制启动CAA检查?
任何一家CA机构对于整个互联网的安全都有极大的影响。因为任何一家CA都可以给每一位申请者的域名颁发证书,在过往的岁月里,一些小而不知名的的CA机构常常成为黑客利用的对象。为了提升业绩,这些小的CA机构也许在没有正确验证身份的情况下颁发证书。虽然目前也有不少规章制度以及措施限制CA机构颁发证书,但仍存在不少的漏洞,而CAA为域名所有者提供另一个网络安全防线。
然而Comodo发出SSL证书,忽略了CAA条目
根据CA /浏览器论坛在Ballot 187中批准的CAA标准的规定,今年四月,Comodo等证书机构必须在发出新的SSL证书之前先检查DNS记录中的CAA字段。
星期一,德国安全研究员HannoBöck与信息社区共享他设法从Comodo获得SSL证书。 — 现已撤销 —
对于自己的网站,CAA领域限制了SSL发行,只能让我们加密。
Böck表示,他在星期六获得证书,是CAA检查在9月8日星期五成为强制性之后的第一天。
“我最初被通知,邮件提供商mail.de的Michael Kliewe在Comodo缺少CAA检查,”Böck在邮件列表中写道。 “那就是CAA成为强制性之前。”
专家补充说:“我现在已经听到多位其他人的确认证实了这一点。” “现在看来,科摩多根本没有检查CAA。”
Comodo网站显示公司符合CAA标准
根据Comodo官方网站上的网页,该公司拥有符合CAA标准。
Comodo没有及时回应Bleeping Computer发表的有关本文发布的意见的请求。
提示:
您可以通过我们 MySSL CAA检测工具进行检查,目前国内暂时还没有DNS服务商支持CAA记录,自建的或者检测国外域名,如google.com进行测试。