Certificaatautoriteit Comodo bleek bij het uitgeven van tls-certificaten de CAA-standaard niet te controleren, zo ontdekte de Duitse journalist Hanno Bock alsmede verschillende andere personen. CAA staat voor Certification Authority Authorization en laat eigenaren van een domein bepalen welke certificaatautoriteiten voor hun domein certificaten mogen uitgeven.
Hiermee kunnen domeineigenaren zich beschermen tegen kwetsbaarheden in het certificaatautoriteit-validatiesysteem en aanbestedingsbeleid voor het verkrijgen van certificaten afdwingen. Om van CAA gebruik te maken moet er in de dns-records van het domein een CAA-record worden opgenomen waarin de certificaatautoriteiten staan vermeld die voor het domein certificaten mogen uitgeven. Voor de uitgifte van een certificaat hoort de certificaatautoriteit het CAA-record te controleren en het verzoek te weigeren als er een certificaatautoriteit wordt gebruikt die niet vermeld staat.
De CAA-standaard werd in 2013 aangenomen, maar sinds 8 september is het verplicht voor certificaatautoriteiten om hierop te controleren. Comodo laat op de eigen website weten dat het dit al meer dan een jaar doet. Ondanks de toegezegde controle ging Comodo de fout in. Bock wist een certificaat voor een domein aan te vragen waar alleen certificaten van Let's Encrypt waren toegestaan, maar het uitgegeven certificaat was van een andere certificaatautoriteit afkomstig. Comodo erkent de fout en heeft het probleem inmiddels verholpen. Daarnaast komt het bedrijf binnenkort met een rapport over het incident.
Deze posting is gelocked. Reageren is niet meer mogelijk.