CAA新标准生效第一日,Comodo被爆违规签发证书

发布日期：2017-09-18

新的CAA(Certificate Authority Authorization)标准于本月8日上线，而就在新规上线的第二天，某德国籍安全研究员爆出Comodo破坏规定并误发了证书。

CAA允许网站拥有者指明哪些证书颁发机构可以为他们颁发证书，网站所有者可以通过在DNS条目中添加文本字段来为其域设置CAA规则，如下所示：

xxx.com. CAA 0 issue "wotrus.com"

这个小规则告诉任何证书颁发机构，只有wotrus可以为xxx.com域颁发SSL证书。

Comodo颁发SSL证书无视CAA规定

根据CA /B论坛在Ballot 187中批准的CAA标准的规定，今年四月，Comodo等证书机构必须在发出新的SSL证书之前先检查DNS记录中的CAA字段。

星期一，德国安全研究员HannoBöck向信息社区透露，即使CAA领域限制SSL发行仅限于Let's Encrypt，他也为自己的网站从Comodo获得了SSL证书，现已被撤销。

Böck表示，他在上周六从Comodo获得了SSL证书，也就是CAA检查在9月8日星期五成为强制性的第二天。

“我最初是从邮件提供商mail.de的Michael Kliewe那里得知Comodo缺少CAA检查的”Böck在邮件列表中写道“但那是CAA成为强制性之前”。

他补充道“而今我已从多位其他人口中确认并证实了这一点”，“现在看来，Comodo根本没有检查CAA”。

有趣的是，Comodo官方表示，该公司完全符合新CAA的要求，那么事实是否真的如此呢?让我们静待解释。