Abo
  • Services:

Comodo stellt fehlerhafterweise Zertifikat aus

Der Softwareentwicker Michael Kliewe von mail.de wies uns schon vor einigen Wochen darauf hin, dass man bei Comodo offenbar mit der Umsetzung von CAA geschlampt hat. Zwar kündigt die Comodo-Webseite an, dass man dort schon seit mindestens zwölf Monaten CAA-Records prüfe. Trotzdem wurde für eine Domain, für die via CAA-Record nur eine andere Zertifizierungsstelle als erlaubt angegeben war, ein Zertifikat ausgestellt.

Stellenmarkt
  1. TeamBank AG, Nürnberg
  2. GK Software SE, Sankt Ingbert, Köln, Schöneck

Das alleine wäre zwar ein Widerspruch zu Comodos eigener Webseite gewesen, aber damals galt noch keine verpflichtende Prüfung von CAA-Records. Doch bei einem Test von Golem.de wurde auch am Samstag von Comodo noch ein Zertifikat für eine Domain ausgestellt, für die ein anderweitiger CAA-Record gesetzt war.

Auch bei anderen Zertifizierungsstellen hapert es noch mit der Umsetzung von CAA. Andrew Ayer von der Firma SSLMate hat eine Testsuite mit zahlreichen Domains erstellt, die diverse Varianten von CAA umsetzen. Bei den Tests von Ayer stellte Digicert mehrere Zertifikate fälschlicherweise aus.

Da der Record-Typ noch vergleichsweise neu ist, benötigt man eine vergleichsweise aktuelle Version des entsprechenden DNS-Servers. BIND hat die Unterstützung von CAA in Version 9.9.6 eingeführt, PowerDNS in Version 4.0.0. Unbound unterstützt CAA ebenfalls, allerdings fanden wir keine Informationen, ab welcher Version das der Fall ist.

Unterstützung bei Hostern bisher noch mangelhaft

Bei Web- und DNS-Hostern ist die Situation noch durchwachsen. Viele bieten bislang keine Möglichkeit, den neuen DNS-Record-Typ zu konfigurieren. Wir haben bei verschiedenen deutschen Webhostern nachgefragt. Von 1&1 hatten wir zur Fertigstellung des Artikels noch kein Statement. Bei http.net, einem der größten deutschen Domainhoster, konnten wir in einem Test keine CAA-Records anlegen.

Hetzner schreibt in seinem Wiki, dass man CAA erst unterstützen möchte, wenn DNSSEC zur Verfügung steht. Einen logischen Grund dafür gibt es nicht, denn CAA lässt sich - anders als die Hetzner-Dokumentation nahelegt - auch unabhängig von DNSSEC nutzen.

Strato teilte uns auf Nachfrage Folgendes mit: "Das Sicherheitsrisiko, das durch CAA-Records beseitigt werden soll, besteht bei uns derzeit nicht, da Strato-Kunden auf unserer Plattform automatisiert SSL-Zertifikate zur Verfügung gestellt werden."

Nachvollziehen können wir auch dieses Statement nicht. CAA soll ja dazu dienen, dass andere Zertifizierungsstellen nicht fehlerhafterweise Zertifikate ausstellen. Was die automatisierte Zertifikatsausstellung von Strato damit zu tun hat, bleibt wohl deren Geheimnis.

Google-Domains unterstützt CAA bislang nicht, was überrascht, da Google-Vertreter im CA/Browser-Forum die Einführung von verpflichtenden CAA-Checks vorangetrieben haben. Cloudflare hat vor kurzem einen Betatest mit CAA-Records gestartet.

Einen Überblick über die Unterstützung bei DNS-Servern und Hostern gibt es bei SSLMate und auf einer von Royce Williams verwalteten Übersichtsseite auf Github.

Gängige TLS-Test-Tools wie SSL Labs und Hardenize prüfen den CAA-Record schon seit einer Weile. Bei DNS Spy gibt es zudem einen Validator für CAA-Records, der mögliche Fehlerquellen aufspürt.

 TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. DOOM + Dishonored 2 PS4 für 18€)
  2. 399€ (Vergleichspreis ab 467€)
  3. 315€/339€ (Mini/AMP)

My1 12. Sep 2017

Spätestens wenn eine Domain dnssec hat, könnte man vlt via Abstimmung im cab forum und...

ConiKost 12. Sep 2017

Danke! Ich habe inzwischen Nachgefragt und eine Bestätigung bekommen. Nur nicht, was ich...

dasa 11. Sep 2017

Mit der Umsetzung von DANE hapert es bekanntermaßen auf Client-Seite, da es zum einen...


Folgen Sie uns
       


Red Dead Redemption 2 - Test

Das Spiel des Jahres - in punkto Hype - kommt 2018 von den GTA-Machern Rockstar. Im Test sortieren wir es im Genre ein.

Red Dead Redemption 2 - Test Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
    Need for Speed 3 Hot Pursuit (1998)
    El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

    Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
    Von Michael Wieczorek


      Mars Insight: Nasa hofft auf Langeweile auf dem Mars
      Mars Insight
      Nasa hofft auf Langeweile auf dem Mars

      Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

      1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
      2. Mars Die Nasa gibt den Rover nicht auf
      3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

        •  /