Спустя всего один день с момента вступления в силу стандарта CAA (Certificate Authority Authorization) немецкий исследователь безопасности Ханно Бек (Hanno Bock) уличилComodo в его нарушении.
CAA позволяет владельцам web-сайтов самим определять, каким удостоверяющим центрам (УЦ) разрешено выпускать для них цифровые сертификаты. С помощь CAA они могут устанавливать правила для своего домена, указав нужные УЦ в записи DNS. Перед выпуском сертификата удостоверяющий центр обязан проверить CAA-запись в DNS. Если его нет в списке УЦ, которым разрешено выпускать сертификаты для данного домена, он должен блокировать выдачу сертификата и уведомить владельца web-сайта о возможной попытке компрометации.
Стандарт был одобрен на форуме CA/Browser Forum в апреле текущего года и стал обязательным с 8 сентября. Согласно официальному сайту Comodo, компания придерживается стандарта CAA. Тем не менее, в начале текущей недели Бек сообщил, что 9 сентября ему удалось получить SSL-сертификат от Comodo (в настоящее время уже отозван) для своего сайта, хотя, согласно CAA, выпускать сертификаты было разрешено только Let-s Encrypt .
Бек узнал о проблеме Comodo с проверкой CAA от разработчика из mail.de Михаэля Кливе (Michael Kliewe). Правда, это было еще до того, как стандарт стал обязательным. "Другие люди говорили то же самое. Похоже, что и сейчас Comodo совсем не проверяет CAA", – сообщил Бек.
Comodo Group – компания-производитель ПО и поставщик SSL-сертификатов, основанная в 1998 году в США. Является одним из крупнейших удостоверяющих центров и предлагает бесплатные сертификаты для персональной электронной почты.
