Abo
  • Services:
Anzeige
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt.
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt. (Bild: Comodo)

Comodo stellt fehlerhafterweise Zertifikat aus

Der Softwareentwicker Michael Kliewe von mail.de wies uns schon vor einigen Wochen darauf hin, dass man bei Comodo offenbar mit der Umsetzung von CAA geschlampt hat. Zwar kündigt die Comodo-Webseite an, dass man dort schon seit mindestens zwölf Monaten CAA-Records prüfe. Trotzdem wurde für eine Domain, für die via CAA-Record nur eine andere Zertifizierungsstelle als erlaubt angegeben war, ein Zertifikat ausgestellt.

Anzeige

Das alleine wäre zwar ein Widerspruch zu Comodos eigener Webseite gewesen, aber damals galt noch keine verpflichtende Prüfung von CAA-Records. Doch bei einem Test von Golem.de wurde auch am Samstag von Comodo noch ein Zertifikat für eine Domain ausgestellt, für die ein anderweitiger CAA-Record gesetzt war.

Auch bei anderen Zertifizierungsstellen hapert es noch mit der Umsetzung von CAA. Andrew Ayer von der Firma SSLMate hat eine Testsuite mit zahlreichen Domains erstellt, die diverse Varianten von CAA umsetzen. Bei den Tests von Ayer stellte Digicert mehrere Zertifikate fälschlicherweise aus.

Da der Record-Typ noch vergleichsweise neu ist, benötigt man eine vergleichsweise aktuelle Version des entsprechenden DNS-Servers. BIND hat die Unterstützung von CAA in Version 9.9.6 eingeführt, PowerDNS in Version 4.0.0. Unbound unterstützt CAA ebenfalls, allerdings fanden wir keine Informationen, ab welcher Version das der Fall ist.

Unterstützung bei Hostern bisher noch mangelhaft

Bei Web- und DNS-Hostern ist die Situation noch durchwachsen. Viele bieten bislang keine Möglichkeit, den neuen DNS-Record-Typ zu konfigurieren. Wir haben bei verschiedenen deutschen Webhostern nachgefragt. Von 1&1 hatten wir zur Fertigstellung des Artikels noch kein Statement. Bei http.net, einem der größten deutschen Domainhoster, konnten wir in einem Test keine CAA-Records anlegen.

Hetzner schreibt in seinem Wiki, dass man CAA erst unterstützen möchte, wenn DNSSEC zur Verfügung steht. Einen logischen Grund dafür gibt es nicht, denn CAA lässt sich - anders als die Hetzner-Dokumentation nahelegt - auch unabhängig von DNSSEC nutzen.

Strato teilte uns auf Nachfrage Folgendes mit: "Das Sicherheitsrisiko, das durch CAA-Records beseitigt werden soll, besteht bei uns derzeit nicht, da Strato-Kunden auf unserer Plattform automatisiert SSL-Zertifikate zur Verfügung gestellt werden."

Nachvollziehen können wir auch dieses Statement nicht. CAA soll ja dazu dienen, dass andere Zertifizierungsstellen nicht fehlerhafterweise Zertifikate ausstellen. Was die automatisierte Zertifikatsausstellung von Strato damit zu tun hat, bleibt wohl deren Geheimnis.

Google-Domains unterstützt CAA bislang nicht, was überrascht, da Google-Vertreter im CA/Browser-Forum die Einführung von verpflichtenden CAA-Checks vorangetrieben haben. Cloudflare hat vor kurzem einen Betatest mit CAA-Records gestartet.

Einen Überblick über die Unterstützung bei DNS-Servern und Hostern gibt es bei SSLMate und auf einer von Royce Williams verwalteten Übersichtsseite auf Github.

Gängige TLS-Test-Tools wie SSL Labs und Hardenize prüfen den CAA-Record schon seit einer Weile. Bei DNS Spy gibt es zudem einen Validator für CAA-Records, der mögliche Fehlerquellen aufspürt.

 TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

eye home zur Startseite
My1 12. Sep 2017

Spätestens wenn eine Domain dnssec hat, könnte man vlt via Abstimmung im cab forum und...

Themenstart

ConiKost 12. Sep 2017

Danke! Ich habe inzwischen Nachgefragt und eine Bestätigung bekommen. Nur nicht, was ich...

Themenstart

dasa 11. Sep 2017

Mit der Umsetzung von DANE hapert es bekanntermaßen auf Client-Seite, da es zum einen...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Plochingen
  2. Salzgitter Mannesmann Handel GmbH, Düsseldorf
  3. Fresenius Kabi Deutschland GmbH, Oberursel
  4. Basler AG, Ahrensburg


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 9,99€
  3. 199,99€ - Release 13.10.

Folgen Sie uns
       


  1. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  2. Die Woche im Video

    Schwachstellen, wohin man schaut

  3. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  4. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  5. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  6. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  7. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  8. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  9. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  10. Oracle

    Java SE 9 und Java EE 8 gehen live



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. Re: Und bei DSL?

    bombinho | 11:32

  2. Endlich remove für Streams

    Chew | 11:32

  3. Re: Absicht?

    gr0mgr0m | 11:32

  4. Aber PGP ist schuld ...

    snape_case | 11:25

  5. Re: Wieder mal Schwachsinn

    longthinker | 11:25


  1. 11:03

  2. 09:03

  3. 17:43

  4. 17:25

  5. 16:55

  6. 16:39

  7. 16:12

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel