certificado de Google y CAA

5

Estoy jugando con los certificados, tratando de fortalecer mis propios sitios. Al hacerlo, me di cuenta de que Google tiene alguna configuración extraña de su CAA .

Mirando sus ssllabs results , o usando cli de Linux normal:

me { ~ }$ dig google.com CAA +short
0 issue "symantec.com"
0 issue "pki.goog"

Puede ver que Google ha incluido a symantec.com como una autoridad de certificación que puede emitir certificados para su dominio.

Basado en algunos reenviado < a href="https://www.google.com/search?q=google+symantec+certificate&num=30&espv=2&source=lnms&tbm=nws&sa=X"> news Me imagino a Google haciendo exactamente lo contrario, es decir, fijar symantec para nunca emitir un certificado de Google.

¿Alguien sabe de una buena razón para esto? ¿O no entiendo todo el panorama?

Actualización : acabo de ver isc.sans.org publicado diario sobre CAA un par de horas después de que pregunté esto. No hay iluminación aunque ...

    
pregunta xeor 25.04.2017 - 10:21
fuente

1 respuesta

3

Google aún utiliza el certificado intermedio de emisión (Google Internet Authority G2), firmado por Geotrust (una parte del grupo de Symantec). Quizás, esta es la razón indirecta por la que tienen que mantener symantec.com en la lista blanca en CAA. enlace

Han obtenido sus propios certificados raíz recientemente, por lo que dejarán de usar las CA de terceros tarde o temprano. enlace es su propia CA de ahora en adelante.

    
respondido por el Stas Fastov 20.07.2017 - 21:23
fuente

Lea otras preguntas en las etiquetas