Zertifizierung: Comodo ignoriert neue CAA-Richtlinie
Der deutsche Sicherheitsforscher Hanno Boeck erwischte Comodo dabei, dass sie ein Zertifikat ausgestellt haben, für das sie keine Berechtigung hatten. Die diesbezüglichen CAA-Regeln sind eigentlich seit 8.September bindend.
Mittels Certification Authority Authorization (CAA) kann ein Admin im DNS festlegen, wer Zertifikate für seine Site ausstellen darf. Hanno Boeck hatte dies für "cmc.tlsfun.de" auf Mozillas Zertifizierungsstelle Letsencrypt beschränkt. Trotzdem stellte ihm Comodo am Samstag, den 9.9. ein Zertifikat dafür aus. Damit verstieß der Zertifikatsherausgeber gegen eine Richtlinie des CA/Browser Forums, die eigentlich seit dem 8.9.2017 verbindlich ist.
Das Problem von CAA ist, dass es zunächst keine Konsequenzen hat, wenn eine Zertifizierungsstelle die Vorgabe ignoriert. Das missbräuchlich ausgestellte Zertifikat wird – anders als etwa beim Public Key Pinning via HPKP – auch weiterhin ohne Probleme funktionieren. Um Missbrauch aufzudecken, braucht es also aufmerksame Admins wie Boeck, die das ganze kontrollieren.
Comodo will nachbessern - wieder
Ein weiteres Problem des CAA-Konzepts ist, dass bisher nicht klar ist, wer Verstöße wie ahnden soll. Boeck hat sich jetzt beim Security-Team von Mozilla beschwert, das versprochen hat, der Sache weiter nachzugehen. Dabei half, dass mehrere Admins seine Erfahrungen bestätigen. Wie das aussehen soll, wenn jemand über ein zweifelhaftes, fünf Monate altes Zertifikat stolpert, ist nach wie vor unklar.
Rob Stradling von Comodo hat das aktuelle Problem bestätigt und versprochen, dass Comodo sofort Maßnahmen zur Beseitigung ergreifen wolle. Einen ähnlichen Vorgang gab es bereits vor zwei Jahren. Damals stellte Comodo auf Grund eines Bugs mehrere Zertifikate aus, die gegen die damals noch nicht verbindlichen CAA-Regeln verstießen. (ju)
