其他
Comodo被曝在CAA新标准执行的头一天就违反规则
▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
9月8日,就在CAA(证书机构授权)新标准刚执行,德国研究员Hanno Böck就发现Comodo公司违反规则,颁发了一份无权颁发的SSL证书。
CAA能让网站所有人明确哪些证书机构能以自己的名义颁发证书。网站所有人能在DNS中增加一个文本字段为自己的域名设置一个CAA规则,如下:
bleepingcomputer.com.CAA 0 issue "symantec.com"
这个小规则告知所有证书机构的信息是,只有赛门铁克可以为BleepingComputer.com域名颁发SSL证书。
Comodo忽视CAA规则颁发SSL证书
根据CA/BrowserForum投票187批准的CAA标准规则,四月份,证书机构如Comodo必须在颁发新的SSL证书之前检查DNS记录中的CAA字段。
Hanno Böck在周一跟信息安全圈子分享时指出,他设法从Comodo为自己的网站获取了一个SSL证书(现已撤销),但CAA字段将SSL颁发权仅局限于Let’s Encrypt。
Hanno Böck指出他在上周六获得该证书,也就是CAA检查在周五变成强制要求后的第一天之后,Comodo就违反规则。他表示此前CAA新标准尚未执行之前就获知Comodo缺乏CAA检查机制。其他很多人也证实称Comodo违反CAA新标准,似乎该公司从不检查。
Comodo网站标榜符合CAA标准
Comodo在其网站的一个网页上指出该公司符合CAA标准。
目前,Comodo公司尚未就此事置评。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。