Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Эксперт уличил Comodo в нарушении стандарта CAA

Эксперт уличил Comodo в нарушении стандарта CAA


13.09.2017

Эксперт уличил Comodo в нарушении стандарта CAA

Спустя всего один день с момента вступления в силу стандарта CAA (Certificate Authority Authorization) немецкий исследователь безопасности Ханно Бек (Hanno Bock) уличил Comodo в его нарушении.

 CAA позволяет владельцам web-сайтов самим определять, каким удостоверяющим центрам (УЦ) разрешено выпускать для них цифровые сертификаты. С помощь CAA они могут устанавливать правила для своего домена, указав нужные УЦ в записи DNS. Перед выпуском сертификата удостоверяющий центр обязан проверить CAA-запись в DNS. Если его нет в списке УЦ, которым разрешено выпускать сертификаты для данного домена, он должен блокировать выдачу сертификата и уведомить владельца web-сайта о возможной попытке компрометации.

 Стандарт был одобрен на форуме CA/Browser Forum в апреле текущего года и стал обязательным с 8 сентября. Согласно официальному сайту Comodo, компания придерживается стандарта CAA. Тем не менее, в начале текущей недели Бек сообщил, что 9 сентября ему удалось получить SSL-сертификат от Comodo (в настоящее время уже отозван) для своего сайта, хотя, согласно CAA, выпускать сертификаты было разрешено только Let-s Encrypt .

 Бек узнал о проблеме Comodo с проверкой CAA от разработчика из mail.de Михаэля Кливе (Michael Kliewe). Правда, это было еще до того, как стандарт стал обязательным. "Другие люди говорили то же самое. Похоже, что и сейчас Comodo совсем не проверяет CAA", – сообщил Бек.

 Comodo Group – компания-производитель ПО и поставщик SSL-сертификатов, основанная в 1998 году в США. Является одним из крупнейших удостоверяющих центров и предлагает бесплатные сертификаты для персональной электронной почты.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.