{"id":193970,"date":"2017-09-12T07:47:29","date_gmt":"2017-09-12T05:47:29","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193970"},"modified":"2023-06-04T22:48:00","modified_gmt":"2023-06-04T20:48:00","slug":"commodo-patzt-bei-caa-records-berprfung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/09\/12\/commodo-patzt-bei-caa-records-berprfung\/","title":{"rendered":"Commodo patzt bei CAA-Records-&Uuml;berpr&uuml;fung"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Anbieter Commodo ist mal wieder aufgefallen, weil er ein SSL-Zertifikat ausgestellt hat, das so nicht h\u00e4tte ausgestellt werden d\u00fcrfen \u2013 wenige Tage, nachdem neue Regeln (CAA-Records-Pr\u00fcfung) f\u00fcr die Ausstellung von Zertifikaten gelten.<\/p>\n<p><!--more--><\/p>\n<h2>Neu: CA-Stellen m\u00fcssen CAA-Records pr\u00fcfen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/6a39026389f94cadb56906af79ce9afb\" width=\"1\" height=\"1\"\/>Da in der Vergangenheit Schindluder getrieben wurde, m\u00fcssen Zertifizierungsstellen die sogenannten CAA-Records \u00fcberpr\u00fcfen. Dort wird u.a. festgelegt, welche Zertifizierungsstellen SSL-Zertifikate f\u00fcr eine Domain ausstellen d\u00fcrfen.<\/p>\n<p>Ein neuer CAA DNS-Eintrag (das CAA steht f\u00fcr Certificate Authority Authorization) erm\u00f6glicht es dem Inhaber einer Domain festzulegen, welche Zertifizierungsstellen er zul\u00e4sst. Das Ganze ist im 2013 verabschiedeten CAA-Standard <a href=\"https:\/\/tools.ietf.org\/html\/rfc6844\">RFC 6844<\/a> geregelt. <\/p>\n<p>In der Vergangenheit war die \u00dcberpr\u00fcfung der CAA DNS-Records f\u00fcr die Zertifizierungsstellen nicht verpflichtend. Das hat sich aber gerade ge\u00e4ndert. Das CA\/Browser-Forum hatte nach <a href=\"https:\/\/web.archive.org\/web\/20200505221200\/https:\/\/cabforum.org\/2017\/03\/08\/ballot-187-make-caa-checking-mandatory\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Abstimmung<\/a> am 8. M\u00e4rz 2017 beschlossen, dass ab dem 8. September 2017 die CAA DNS-Records verpflichtend vor der Ausstellung eines SSL-Zertifikats zu \u00fcberpr\u00fcfen seien.<\/p>\n<h2>Commodo pr\u00fcft (noch) nicht<\/h2>\n<p>Ein Zertifikatsaussteller ist Commodo, die in der oben verlinkten Abstimmung explizit aufgef\u00fchrt sind und auf <a href=\"https:\/\/web.archive.org\/web\/20230407031531\/https:\/\/support.comodo.com\/index.php?\/Knowledgebase\/Article\/View\/1204\/1\/caa-record---certification-authority-authorization\" target=\"_blank\" rel=\"noopener noreferrer\">ihrer Webseite<\/a> angeben, bereits seit mindestens einem Jahr diese CAA-Records-\u00dcberpr\u00fcfung durchzuf\u00fchren. Allerdings ist Commodo mir in der Vergangenheit bereits mehrfach durch 'Unregelm\u00e4\u00dfigkeiten' bei Zertifikaten aufgefallen. <\/p>\n<p>Softwareentwicker Michael Kliewe von mail.de ist vor Wochen bereits aufgefallen, dass Commodo, trotz gegenteiliger Behauptungen auf den eigenen Webseiten, die CAA-Records nicht wirklich \u00fcberpr\u00fcft. Jedenfalls konnte man bei Commodo ein SSL-Zertifikat ausstellen lassen, welches f\u00fcr die Domain nicht zul\u00e4ssig ist. <\/p>\n<p>Nachdem diese \u00dcberpr\u00fcfung ab dem 8. September 2017 verpflichtend ist, hat Hanno B\u00f6ck daher \u00fcberpr\u00fcft, ob Commodo endlich diese Pr\u00fcfung durchf\u00fchrt und die Vorgaben im CAA DNS-Record einh\u00e4lt. Wie Hanno B\u00f6ck bei Golem.de in <a href=\"https:\/\/www.golem.de\/news\/tls-zertifikate-zertifizierungsstellen-muessen-caa-records-pruefen-1709-129981.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> schreibt, stellte Commodo das betreffende TSL-Zertifikat anstandslos aus, obwohl dieses nicht zul\u00e4ssig war. Auch bei anderen Zertifizierungsstellen scheint die Umsetzung noch nicht korrekt erfolgt zu sein. (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/comodo-caught-breaking-new-caa-standard-one-day-after-it-went-into-effect\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Anbieter Commodo ist mal wieder aufgefallen, weil er ein SSL-Zertifikat ausgestellt hat, das so nicht h\u00e4tte ausgestellt werden d\u00fcrfen \u2013 wenige Tage, nachdem neue Regeln (CAA-Records-Pr\u00fcfung) f\u00fcr die Ausstellung von Zertifikaten gelten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,1468],"class_list":["post-193970","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193970"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193970\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}