Comodo und die CAA Schumelei

Seit dem 8. September ist CAA eigentlich für alle Herausgeber von Zertifikaten verbindlich. Doch ein Sicherheitsforscher hat herausgefunden, dass Comodo trotzdem dagegen verstößt. Natürlich hat Comodo nichts zu befürchten den ein Verstoß gegen CAA hat keine Folgen, die es nach sich zieht.

Trotzdem finde ich das wieder erstaunlich. Comodo ist mit einem Marktanteil von fast 37 % (Stand Februar 2015) der größte Herausgeber von kommerziellen SSL Zertifikaten. An sich sollte so ein Anbieter allein aus eigenem Geschäftsinteresse daran interessiert sein, dass weiterhin ein entsprechend hohes Vertrauen in die SSL-Zertifikate und die eigene Zertifizierungsinfrastruktur besteht.

Allerdings ist das auch nicht der erste Patzer, den sich Comodo erlaubt. Vor nicht all zu langer Zeit gab es schon einmal Probleme. Damals mit dem automatischen Parsen von E-Mail-Adressen aus den whois-Daten (OCR). Die Bestätigungsmails gingen dann an falsche Empfänger bzw. an ähnlich klingende Adressen, was in bestimmten Fällen dazu führen konnte, dass man sich falsche Zertifikate erschleichen konnte.

Meiner Meinung nach ist hier Comodo nicht wirklich besser als Symantec, die sich auch regelmäßig über Regeln hinwegsetzen. Warum beide CAs noch immer in den Vertrauenswürdigen Zertifikatsstellen sind ist mir ein Rätsel. WoSign und StartSSL sind hingegen wesentlich schneller verschwunden.