Спустя один день с момента вступления в силу стандарта CAA немецкий исследователь безопасности Ханно Бек на своем опыте убедился в том, что Comodo установленных правил не придерживается.
CAA (Certificate Authority Authorization) дает возможность владельцам web-сайтов самим определять, каким удостоверяющим центрам (УЦ) разрешено выпускать SSL-сертификаты для их проектов.
Благодаря CAA все владельцы онлайн-проектов могут самостоятельно устанавливать правила для своего домена, указав нужные УЦ в записи DNS. Именно поэтому перед выпуском сертификата удостоверяющий центр обязан проверить CAA-запись в DNS. Если в списке разрешенных УЦ его нет, он должен блокировать выдачу сертификата и уведомить владельца web-сайта о возможной попытке компрометации. Такой стандарт был одобрен на форуме CA/Browser Forum в апреле текущего года и стал обязательным с 8 сентября.
В начале текущей недели исследователь Ханно Бек сообщил, что 9 сентября он получил для своего сайта SSL-сертификат от Comodo (в настоящее время уже отозван), хотя, согласно CAA, выпускать сертификаты было разрешено только Let’s Encrypt.
О проблеме Comodo с проверкой CAA исследователь узнал от разработчика из mail.de Михаэля Кливе. Однако это было еще до того, как стандарт стал обязательным.
Источник: securitylab.ru