Abo
  • Services:

Comodo stellt fehlerhafterweise Zertifikat aus

Der Softwareentwicker Michael Kliewe von mail.de wies uns schon vor einigen Wochen darauf hin, dass man bei Comodo offenbar mit der Umsetzung von CAA geschlampt hat. Zwar kündigt die Comodo-Webseite an, dass man dort schon seit mindestens zwölf Monaten CAA-Records prüfe. Trotzdem wurde für eine Domain, für die via CAA-Record nur eine andere Zertifizierungsstelle als erlaubt angegeben war, ein Zertifikat ausgestellt.

Stellenmarkt
  1. thyssenkrupp Bilstein GmbH, Ennepetal
  2. über duerenhoff GmbH, Raum Hamm

Das alleine wäre zwar ein Widerspruch zu Comodos eigener Webseite gewesen, aber damals galt noch keine verpflichtende Prüfung von CAA-Records. Doch bei einem Test von Golem.de wurde auch am Samstag von Comodo noch ein Zertifikat für eine Domain ausgestellt, für die ein anderweitiger CAA-Record gesetzt war.

Auch bei anderen Zertifizierungsstellen hapert es noch mit der Umsetzung von CAA. Andrew Ayer von der Firma SSLMate hat eine Testsuite mit zahlreichen Domains erstellt, die diverse Varianten von CAA umsetzen. Bei den Tests von Ayer stellte Digicert mehrere Zertifikate fälschlicherweise aus.

Da der Record-Typ noch vergleichsweise neu ist, benötigt man eine vergleichsweise aktuelle Version des entsprechenden DNS-Servers. BIND hat die Unterstützung von CAA in Version 9.9.6 eingeführt, PowerDNS in Version 4.0.0. Unbound unterstützt CAA ebenfalls, allerdings fanden wir keine Informationen, ab welcher Version das der Fall ist.

Unterstützung bei Hostern bisher noch mangelhaft

Bei Web- und DNS-Hostern ist die Situation noch durchwachsen. Viele bieten bislang keine Möglichkeit, den neuen DNS-Record-Typ zu konfigurieren. Wir haben bei verschiedenen deutschen Webhostern nachgefragt. Von 1&1 hatten wir zur Fertigstellung des Artikels noch kein Statement. Bei http.net, einem der größten deutschen Domainhoster, konnten wir in einem Test keine CAA-Records anlegen.

Hetzner schreibt in seinem Wiki, dass man CAA erst unterstützen möchte, wenn DNSSEC zur Verfügung steht. Einen logischen Grund dafür gibt es nicht, denn CAA lässt sich - anders als die Hetzner-Dokumentation nahelegt - auch unabhängig von DNSSEC nutzen.

Strato teilte uns auf Nachfrage Folgendes mit: "Das Sicherheitsrisiko, das durch CAA-Records beseitigt werden soll, besteht bei uns derzeit nicht, da Strato-Kunden auf unserer Plattform automatisiert SSL-Zertifikate zur Verfügung gestellt werden."

Nachvollziehen können wir auch dieses Statement nicht. CAA soll ja dazu dienen, dass andere Zertifizierungsstellen nicht fehlerhafterweise Zertifikate ausstellen. Was die automatisierte Zertifikatsausstellung von Strato damit zu tun hat, bleibt wohl deren Geheimnis.

Google-Domains unterstützt CAA bislang nicht, was überrascht, da Google-Vertreter im CA/Browser-Forum die Einführung von verpflichtenden CAA-Checks vorangetrieben haben. Cloudflare hat vor kurzem einen Betatest mit CAA-Records gestartet.

Einen Überblick über die Unterstützung bei DNS-Servern und Hostern gibt es bei SSLMate und auf einer von Royce Williams verwalteten Übersichtsseite auf Github.

Gängige TLS-Test-Tools wie SSL Labs und Hardenize prüfen den CAA-Record schon seit einer Weile. Bei DNS Spy gibt es zudem einen Validator für CAA-Records, der mögliche Fehlerquellen aufspürt.

 TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 194,90€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)
  2. 59,79€ inkl. Rabatt
  3. täglich neue Deals bei Alternate.de

My1 12. Sep 2017

Spätestens wenn eine Domain dnssec hat, könnte man vlt via Abstimmung im cab forum und...

ConiKost 12. Sep 2017

Danke! Ich habe inzwischen Nachgefragt und eine Bestätigung bekommen. Nur nicht, was ich...

dasa 11. Sep 2017

Mit der Umsetzung von DANE hapert es bekanntermaßen auf Client-Seite, da es zum einen...


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa

Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Comcast Bezahlsender Sky für 38,8 Milliarden US-Dollar verkauft
  2. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
  3. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos

    •  /