查看原文
其他

Comodo被曝在CAA新标准执行的头一天就违反规则

代码卫士 2022-12-11


作者:Catalin Cimpanu

翻译:360代码卫士团队



9月8日,就在CAA(证书机构授权)新标准刚执行,德国研究员Hanno Böck就发现Comodo公司违反规则,颁发了一份无权颁发的SSL证书。


CAA能让网站所有人明确哪些证书机构能以自己的名义颁发证书。网站所有人能在DNS中增加一个文本字段为自己的域名设置一个CAA规则,如下:


bleepingcomputer.com.CAA 0 issue "symantec.com"


这个小规则告知所有证书机构的信息是,只有赛门铁克可以为BleepingComputer.com域名颁发SSL证书。


Comodo忽视CAA规则颁发SSL证书



根据CA/BrowserForum投票187批准的CAA标准规则,四月份,证书机构如Comodo必须在颁发新的SSL证书之前检查DNS记录中的CAA字段。


Hanno Böck在周一跟信息安全圈子分享时指出,他设法从Comodo为自己的网站获取了一个SSL证书(现已撤销),但CAA字段将SSL颁发权仅局限于Let’s Encrypt。


Hanno Böck指出他在上周六获得该证书,也就是CAA检查在周五变成强制要求后的第一天之后,Comodo就违反规则。他表示此前CAA新标准尚未执行之前就获知Comodo缺乏CAA检查机制。其他很多人也证实称Comodo违反CAA新标准,似乎该公司从不检查。


Comodo网站标榜符合CAA标准



Comodo在其网站的一个网页上指出该公司符合CAA标准。


目前,Comodo公司尚未就此事置评。



本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。



360代码卫士    长按二维码关注我们!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存