Comodo нарушил правила выдачи SSL-сертификатов после вступления стандарта CAA

CAA позволяет владельцам веб-сайтов указывать, какие сертификационные центры (CA) могут выдавать сертификаты на доменное имя ресурса. Владельцы сайтов могут настроить правило CAA для своего домена, добавив текстовое поле в записи DNS, например:

comss.ru. CAA 0 issue " letsencrypt.org"

Это небольшое правило сообщает любому центру сертификации, что только Let's Encrypt может выдавать SSL-сертификаты для домена Comss.ru.

Крупнейшие и наиболее популярные центры сертификации договорились, что начиная с 8 сентября 2017 года в обязательном порядке строго следовать инструкциям, указанным в CAA-записях доменного имени или субдомена для которого запрашивается выпуск сертификата.

Comodo выпустил SSL-сертификат, игнорирующий запись CAA

Согласно правилам стандарта CAA, сертификационные центры, такие как Comodo, должны проверить поле CAA в DNS-записях сайта перед выдачей новых SSL-сертификатов.

В понедельник немецкий исследователь по безопасности Ханно Бёк поделился с сообществом информационной безопасности, что ему удалось получить SSL-сертификат от Comodo (на данный момент отозван) для собственного сайта, даже при том, что поле CAA в DNS-записях ограничивало выпуск SSL только центром сертификации Let's Encrypt.

Бёк сообщил, что он получил сертификат в субботу, на следующий день после того, как проверка CAA стала обязательной (в пятницу 8 сентября). Наличие проблемы также подтверждается другими владельцами сайтов.

Веб-сайт Comodo сообщает о поддержке стандартов CAA

Согласно веб-странице официального сайта Comodo, компания может похвастаться тем, что она совместима с CAA.

Представители Comodo не дали комментарии на запрос портала Bleeping Computer, который опубликовал информацию о проблеме.