Abo
  • Services:
Anzeige
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt.
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt. (Bild: Comodo)

Comodo stellt fehlerhafterweise Zertifikat aus

Der Softwareentwicker Michael Kliewe von mail.de wies uns schon vor einigen Wochen darauf hin, dass man bei Comodo offenbar mit der Umsetzung von CAA geschlampt hat. Zwar kündigt die Comodo-Webseite an, dass man dort schon seit mindestens zwölf Monaten CAA-Records prüfe. Trotzdem wurde für eine Domain, für die via CAA-Record nur eine andere Zertifizierungsstelle als erlaubt angegeben war, ein Zertifikat ausgestellt.

Anzeige

Das alleine wäre zwar ein Widerspruch zu Comodos eigener Webseite gewesen, aber damals galt noch keine verpflichtende Prüfung von CAA-Records. Doch bei einem Test von Golem.de wurde auch am Samstag von Comodo noch ein Zertifikat für eine Domain ausgestellt, für die ein anderweitiger CAA-Record gesetzt war.

Auch bei anderen Zertifizierungsstellen hapert es noch mit der Umsetzung von CAA. Andrew Ayer von der Firma SSLMate hat eine Testsuite mit zahlreichen Domains erstellt, die diverse Varianten von CAA umsetzen. Bei den Tests von Ayer stellte Digicert mehrere Zertifikate fälschlicherweise aus.

Da der Record-Typ noch vergleichsweise neu ist, benötigt man eine vergleichsweise aktuelle Version des entsprechenden DNS-Servers. BIND hat die Unterstützung von CAA in Version 9.9.6 eingeführt, PowerDNS in Version 4.0.0. Unbound unterstützt CAA ebenfalls, allerdings fanden wir keine Informationen, ab welcher Version das der Fall ist.

Unterstützung bei Hostern bisher noch mangelhaft

Bei Web- und DNS-Hostern ist die Situation noch durchwachsen. Viele bieten bislang keine Möglichkeit, den neuen DNS-Record-Typ zu konfigurieren. Wir haben bei verschiedenen deutschen Webhostern nachgefragt. Von 1&1 hatten wir zur Fertigstellung des Artikels noch kein Statement. Bei http.net, einem der größten deutschen Domainhoster, konnten wir in einem Test keine CAA-Records anlegen.

Hetzner schreibt in seinem Wiki, dass man CAA erst unterstützen möchte, wenn DNSSEC zur Verfügung steht. Einen logischen Grund dafür gibt es nicht, denn CAA lässt sich - anders als die Hetzner-Dokumentation nahelegt - auch unabhängig von DNSSEC nutzen.

Strato teilte uns auf Nachfrage Folgendes mit: "Das Sicherheitsrisiko, das durch CAA-Records beseitigt werden soll, besteht bei uns derzeit nicht, da Strato-Kunden auf unserer Plattform automatisiert SSL-Zertifikate zur Verfügung gestellt werden."

Nachvollziehen können wir auch dieses Statement nicht. CAA soll ja dazu dienen, dass andere Zertifizierungsstellen nicht fehlerhafterweise Zertifikate ausstellen. Was die automatisierte Zertifikatsausstellung von Strato damit zu tun hat, bleibt wohl deren Geheimnis.

Google-Domains unterstützt CAA bislang nicht, was überrascht, da Google-Vertreter im CA/Browser-Forum die Einführung von verpflichtenden CAA-Checks vorangetrieben haben. Cloudflare hat vor kurzem einen Betatest mit CAA-Records gestartet.

Einen Überblick über die Unterstützung bei DNS-Servern und Hostern gibt es bei SSLMate und auf einer von Royce Williams verwalteten Übersichtsseite auf Github.

Gängige TLS-Test-Tools wie SSL Labs und Hardenize prüfen den CAA-Record schon seit einer Weile. Bei DNS Spy gibt es zudem einen Validator für CAA-Records, der mögliche Fehlerquellen aufspürt.

 TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

eye home zur Startseite
My1 12. Sep 2017

Spätestens wenn eine Domain dnssec hat, könnte man vlt via Abstimmung im cab forum und...

ConiKost 12. Sep 2017

Danke! Ich habe inzwischen Nachgefragt und eine Bestätigung bekommen. Nur nicht, was ich...

dasa 11. Sep 2017

Mit der Umsetzung von DANE hapert es bekanntermaßen auf Client-Seite, da es zum einen...



Anzeige

Stellenmarkt
  1. Lufthansa Industry Solutions AS GmbH, Stuttgart
  2. Pensions-Sicherungs-Verein VVaG, Köln
  3. State Street Bank International GmbH, München
  4. HUK-COBURG Versicherungsgruppe, Coburg


Anzeige
Top-Angebote
  1. (u. a. Galaxy S8 für 499€ und S8+ für 579€, S7 für 359€, 65"-UHD-TV für 1.199€ und 850...
  2. und mit Gutscheincode bis zu 40€ sparen

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flexispy: Wir lassen uns Spyware installieren
Flexispy
Wir lassen uns Spyware installieren
  1. Staatstrojaner Finspy vom Innenministerium freigegeben
  2. Adobe Zero-Day in Flash wird ausgenutzt
  3. Shodan + Metasploit Autosploit macht Hacken kinderleicht und gefährlich

Soziale Medien: Mein gar nicht böser Twitter-Bot
Soziale Medien
Mein gar nicht böser Twitter-Bot
  1. Soziale Medien Social Bots verzweifelt gesucht

Honor 9 Lite im Test: Gutes Smartphone mit zwei Frontkameras für 230 Euro
Honor 9 Lite im Test
Gutes Smartphone mit zwei Frontkameras für 230 Euro
  1. Android 8.0 Oreo für Honor 8 Pro und Honor 9 ist fertig
  2. Smartphone Honor 6C Pro wird zeitweise günstiger
  3. Honor View 10 Honors neues Topsmartphone kostet 500 Euro

  1. Re: Wo ist die Klage von Intel?

    Limit | 10:03

  2. Re: schlechter Artikel - völlig falsch interpretiert!

    LH | 09:59

  3. Re: Wasserstoff wäre billiger

    Algo | 09:58

  4. Re: Wow! Unglaublich!

    FalschesEnde | 09:48

  5. Re: Wie mans macht, es taugt nichts

    lisgoem8 | 09:47


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel