Let's Encrypt决定吊销300多万张证书!

Let‘s Encrypt 作者:免费SSL 2020-11-10 19:34:25 阅读:989

公益型数字证书颁发机构(CA) Let's Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let's Encrypt 建议用户在3月4日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

由于事发的突然性和时区问题,以及因为免费证书导致本身服务能力较弱,Let's Encrypt只给一些公司不到2小时的通知,仅通知到其中极少部分的用户。

据统计,由于过期证书而导致的意外业务中断可能造成的损失超过1100万美元,对于那些不知道自己因无法预计的原因而经历业务中断的企业将会造成巨大损失!


Let's Encrypt 在邮件中写道:很遗憾,这意味着我们需要撤销受此错误影响的一批证书,其中包括您的一个或多个证书。因此造成的不便,我们深表歉意。

如果客户无法在证书被吊销(3月4日)前更新,网站访客将看到安全警告,直到证书再次更新。新证书的续签流程,可以在 ACME 文档中找到。


证书吊销事件起因:CAA验证Bug

CAA是一种 DNS 记录,它允许站点所有者指定允许证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA “降低意外颁发证书的风险”。默认情况下,每个公共 CA 在验证申请者的域名控制权后可以为任何在公共 DNS 中的域名颁发证书。这意味着如果某个CA的验证流程出现错误,所有域名都有可能受到影响。CAA记录为域名持有者提供了降低这类风险的方法。

CA签发证书的时候,会去查询和验证CAA记录,用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期,如果超过8小时需要重新查询和验证。

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let's Encrypt 会强制将其吊销。

安全专家警告说:此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

例如:黑客可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。


延伸阅读
  • SSL证书到期会有什么样影响?

    SSL证书主要通过加密数据传输,确保用户与网站之间的信息安全。这种加密技术能够有效防止数据在传输过程中被截获和篡改,尤其是涉及敏感信息时,SSL证书显得尤为重要。SSL证书的有效期通常免费的是90天,

  • 2025年最值得购买的SSL证书

    SSL证书已经慢慢成为网站的标配,无论是提升网站安全性,还是建立用户信任感,树立品牌形象都很有帮助。SSL证书的价格受证书订单模式、证书类型和证书品牌的影响,最便宜的证书少至一百多一年,最贵的高达几万

  • 什么是SSL证书ACME协议?

    1. 基本概念ACME协议是由互联网安全研究小组(ISRG)制定的一种开放协议,用于自动化管理SSL/TLS证书的申请、验证、签发、续期和吊销等流程。Let's Encrypt就是基于ACME

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接
在线咨询