• IT-Karriere:
  • Services:

TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

Mittels eines Standards namens Certificate Authority Authorization können Domaininhaber via DNS definieren, wer für sie TLS-Zertifikate ausstellen darf. Ab sofort müssen diese Records geprüft werden. Bei einem Test schlampte Comodo und stellte fälschlicherweise ein Zertifikat aus.

Artikel von Hanno Böck veröffentlicht am
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt.
Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt. (Bild: Comodo)

Ein neuer DNS-Record kann in manchen Situationen helfen, fehlerhaft ausgestellte TLS-Zertifikate zu vermeiden. CAA oder Certificate Authority Authorization heißt der neue Nameservereintrag. Ein Domaininhaber kann darin definieren, welchen Zertifizierungsstellen er erlaubt, Zertifikate für die entsprechende Domain auszustellen. Bei manchen Zertifizierungsstellen hakt es aber noch. Comodo, eine der größten Zertifizierungsstellen, prüft CAA bisher trotz anderweitiger Versprechen überhaupt nicht.

Inhalt:
  1. TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen
  2. Comodo stellt fehlerhafterweise Zertifikat aus

Der Standard für CAA - RFC 6844 - wurde bereits 2013 verabschiedet. Doch bislang war es für Zertifizierungsstellen nicht verpflichtend, sich daran zu halten. Im Frühjahr hatte das CA/Browser-Forum in einer Abstimmung entschieden, dass die Prüfung von CAA künftig verpflichtend wird. Der Stichtag dafür war der 8. September 2017.

DNS-Records definieren zulässige Zertifizierungsstelle

Für den Recordtyp CAA können dabei drei Eigenschaften definiert werden: issue, issuewild und iodef. Als "issue"-Eigenschaft kann man einen von der CA definierten Domainnamen angeben, üblicherweise ist das schlicht der Domainname der Webseite der jeweiligen Zertifizierungsstelle. Im Feld "issuewild" kann man separat angeben, wer Wildcard-Zertifikate für die entsprechende Domain ausstellen darf. Wird diese Eigenschaft nicht angegeben, gilt dafür derselbe Wert wie für "issue".

Das Feld iodef ermöglicht es, einen Reporting-Mechanismus zu definieren. Sprich: Wenn eine CA die Ausstellung eines Zertifikats für die Domain verweigert, kann sie damit einen Fehlerbericht an den Inhaber senden. Dort kann man entweder eine HTTP- oder HTTPS-URL oder eine Mailadresse mit vorangestelltem "mailto:" angeben. Bei HTTP/HTTPS-URLs wird ein Fehlerbericht mittels eines POST-Requests verschickt. Das Verschicken von Fehlerberichten ist bisher allerdings optional und wird von den meisten Zertifizierungsstellen nicht unterstützt.

Stellenmarkt
  1. Elite Consulting Network Group über Elite Consulting Personal & Management Solutions GmbH, Essen
  2. Deutsche Vermögensberatung AG, Frankfurt am Main

Ein Beispiel für eine entsprechende Zonendatei sähe dabei so aus:

example.com.    IN    CAA    0 issue "letsencrypt.org"
example.com.    IN    CAA    0 issuewild ";"
example.com.    IN    CAA    0 iodef "mailto:postmaster@example.org"

Hier wird festgelegt, dass nur Let's Encrypt Zertifikate für die Domain example.com ausstellen darf. Wildcard-Zertifikate sollen überhaupt nicht ausgestellt werden, dafür wird der Platzhalter ";" eingefügt. Fehlerberichte sollen, falls unterstützt, an postmaster@example.org gemailt werden.

CAA ist dabei ein weiterer Baustein, um das System der TLS-Zertifikate zu verbessern. Hilfreich ist CAA vor allem, um bei möglichen Fehlern in der Domainprüfung einen zusätzlichen Sicherheitsmechanismus zu bieten. Wenn eine Zertifizierungsstelle beispielsweise einen Bug hat, der die Domainvalidierung austrickst, sind davon Nutzer, die via CAA nur die Ausstellung von anderen Zertifizierungsstellen zulassen, nicht betroffen. Vorausgesetzt natürlich, dass die Zertifizierungsstelle CAA korrekt prüft.

Keinen Schutz bietet CAA gegen vollständig kompromittierte oder böswillig agierende Zertifizierungsstellen, da natürlich immer die Voraussetzung ist, dass CAA auch geprüft wird. Gegen bösartige Zertifizierungsstellen können aber andere Mechanismen wie Certificate Transparency oder HTTP Public Key Pinning helfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Comodo stellt fehlerhafterweise Zertifikat aus 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)
  2. 27,99€ (ohne Prime oder unter 29€ zzgl. Versand)
  3. 91,99€
  4. 29€

My1 12. Sep 2017

Spätestens wenn eine Domain dnssec hat, könnte man vlt via Abstimmung im cab forum und...

ConiKost 12. Sep 2017

Danke! Ich habe inzwischen Nachgefragt und eine Bestätigung bekommen. Nur nicht, was ich...

dasa 11. Sep 2017

Mit der Umsetzung von DANE hapert es bekanntermaßen auf Client-Seite, da es zum einen...


Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
    Macbook Pro 16 Zoll im Test
    Ein Schritt zurück sind zwei Schritte nach vorn

    Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
    Ein Test von Oliver Nickel

    1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
    2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
    3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

      •  /