Security Heldenhalle
Wie meldet man Sicherheitsproblem?
Bei der OPC On Promise Cloud GmbH steht Sicherheit an erster Stelle und die internen Prozesse spiegeln dies wieder. Bei Sicherheitsproblemen wird eine Stop-the-Line-Politik durchgeführt und alle Kräfte konzentrieren sich auf das Thema, bis das Problem mitigiert ist. Nachdem die dauerhafte Korrektur implementiert wurde, wird die Situation in unserem Blog redaktionell aufbereitet und veröffentlicht, sodass jeder an unseren gewonnenen Erkenntnissen teilhaben kann.
Kontakt
Email: security@on-promise.cloud
Security.txt: security.txt
2025
🛡️ SSL-Zertifikatsrisiko: Fehlende Certification Authority Authorization (CAA)-Regel
Was ist das Problem?
Zertifizierungsstellen (CAs) können versehentlich SSL-Zertifikate für Deine Domain an Angreifer ausstellen – was eine Nachahmung Deiner Website ermöglicht.
Beispiele aus der Vergangenheit:
- 2011 wurden gefälschte Google-Zertifikate im Iran für Massenüberwachung eingesetzt.
- Zwischen 2015 und 2018 stellte Symantec mehrfach fehlerhafte Zertifikate aus. Google reagierte, indem es Symantecs Zertifikaten in Chrome das Vertrauen entzog, was letztlich zum Verkauf des CA-Geschäfts führte.
Wie kannst Du Dein Unternehmen schützen?
Verwende CAA-DNS-Einträge, um festzulegen, welche CAs Zertifikate für Deine Domain ausstellen dürfen.
Optional kannst Du eine iodef
-E-Mail-Adresse hinzufügen, um Benachrichtigungen zu erhalten, falls unautorisierte Ausstellungen versucht werden.
Was sind CAA-Einträge?
Ein DNS-Eintrag wie dieser:
yourdomain.com. CAA 0 issue "letsencrypt.org" yourdomain.com. CAA 0 iodef "mailto:security@yourdomain.com"Dieser teilt der Welt mit: „Nur Let’s Encrypt darf SSL-Zertifikate für uns ausstellen. Und bitte benachrichtigt uns, wenn jemand anderes es versucht.“
Grenzen dieser Methode:
Wenn ein Hacker in eine vertrauenswürdige CA einbricht, hilft CAA nicht. Trotzdem ist es eine wichtige erste Schutzmaßnahme.
Empfehlung für Gründer:
✅ Füge Deiner DNS-Konfiguration einen CAA-Eintrag hinzu.
✅ Richte eine iodef-Adresse zur Benachrichtigung ein.
Ein 10-Minuten-Aufwand, der langfristig für Sicherheit sorgt.
Dank an Hilex, der diesen Hinweis proaktiv mit uns geteilt hat.
Die gemeldete Schwachstelle wurde umgehend behoben. Folgende Domains sind nun durch passende CAA
-Einträge geschützt:
2024
- nichts gemeldet
2023
- nichts gemeldet
2022
- nichts gemeldet