由于域名驗(yàn)證和證書(shū)簽發(fā)軟件中的一個(gè)錯(cuò)誤，Let's Encrypt將吊銷(xiāo)近300萬(wàn)張證書(shū)。日前，Let's Encrypt已經(jīng)向受影響的客戶(hù)發(fā)郵件告知，以便其及時(shí)地更新。

由于事發(fā)突然，Let’s encrypt僅對(duì)有聯(lián)系方式的用戶(hù)進(jìn)行了郵件通知，且從通知到吊銷(xiāo)留給用戶(hù)的更新時(shí)間不足24小時(shí)，此舉可能意味著數(shù)百萬(wàn)依賴(lài)這些證書(shū)來(lái)保護(hù)敏感數(shù)據(jù)流的網(wǎng)站和機(jī)器身份可能會(huì)被識(shí)別為不安全或不可用，造成直接的經(jīng)濟(jì)損失。

據(jù)悉，這批證書(shū)的吊銷(xiāo)時(shí)間為世界標(biāo)準(zhǔn)時(shí)(UTC)3 月 4 日 00:00 整。

證書(shū)吊銷(xiāo)事件緣由

2 月底的時(shí)候，Let's Encrypt發(fā)現(xiàn)其證書(shū)頒發(fā)軟件中的漏洞導(dǎo)致某些證書(shū)不能通過(guò)證書(shū)頒發(fā)機(jī)構(gòu)授權(quán)(CAA)正確驗(yàn)證。

CAA是一項(xiàng)安全功能，允許域管理員創(chuàng)建DNS記錄，該記錄使得網(wǎng)站所有者，僅授權(quán)指定CA機(jī)構(gòu)為自己的域名頒發(fā)證書(shū)，以防止HTTPS證書(shū)錯(cuò)誤簽發(fā)。并且，當(dāng)局必須在頒發(fā)證書(shū)不超過(guò)8小時(shí)前，檢查CAA記錄。

Let’s Encrypt的CA軟件——Boulder中的漏洞導(dǎo)致多域證書(shū)上的一個(gè)域被多次檢查，而不是證書(shū)上的所有域都被一次檢查。這意味著，在某些域沒(méi)有被驗(yàn)證的情況下，頒發(fā)了證書(shū)。

那么，假設(shè)一個(gè)訂閱者驗(yàn)證了一個(gè)域名，并且該域名被允許加密發(fā)布，即使某些域名是不符合Let’s Encrypt的CAA記錄，該訂閱者也能夠正常發(fā)布包含該域名的證書(shū)，直到30天后。

從3月4日起，Let’s Encrypt將加密撤銷(xiāo)高達(dá)3048289個(gè)當(dāng)前有效的證書(shū)，占其約1.16億有效證書(shū)總數(shù)的2.6%。

天威誠(chéng)信是中國(guó)唯一一家由DigiCert/Symantec直接授權(quán)且由中國(guó)工信部批準(zhǔn)的CA認(rèn)證機(jī)構(gòu)，專(zhuān)業(yè)從事數(shù)字證書(shū)等技術(shù)和產(chǎn)品服務(wù)20年，可提供多個(gè)產(chǎn)品選擇及解決方案，擁有豐富應(yīng)對(duì)和解決各種復(fù)雜及突發(fā)情況的專(zhuān)業(yè)服務(wù)支持團(tuán)隊(duì)，提供全天候7*24小時(shí)服務(wù)、一對(duì)一技術(shù)指導(dǎo)，可以為受影響的用戶(hù)提供及時(shí)的幫助支持，快速完成SSL證書(shū)替換部署，減少您因?yàn)榇舜瓮话l(fā)事件所產(chǎn)生的經(jīng)濟(jì)損失。

目前，SSL證書(shū)按照安全等級(jí)分為最低安全級(jí)別 DV(域名型)、其次 OV(組織型)和最高安全級(jí)別 EV(增強(qiáng)型)三種。

從此次事件來(lái)看，免費(fèi)DV SSL證書(shū)缺失了網(wǎng)站身份認(rèn)證功能，雖然降低了部署成本，但也成為了釣魚(yú)網(wǎng)站、惡意網(wǎng)站用于仿冒合法網(wǎng)站的工具。

近幾年頻發(fā)的免費(fèi)SSL證書(shū)安全事件足以表明DV 型證書(shū)僅僅適合于個(gè)人用戶(hù)體驗(yàn)和非商業(yè)網(wǎng)站測(cè)試使用，天威誠(chéng)信建議商用站點(diǎn)選擇 OV 型或者更高安全級(jí)別的 EV 型證書(shū)。同時(shí)建議企業(yè)用戶(hù)通過(guò)專(zhuān)業(yè)SSL證書(shū)提供商申請(qǐng)OV和EV SSL證書(shū)，畢竟專(zhuān)業(yè)的服務(wù)團(tuán)隊(duì)和技術(shù)支持團(tuán)隊(duì)才能更好地保證網(wǎng)站的持續(xù)性穩(wěn)定，解決SSL證書(shū)配置更新的后顧之憂(yōu)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。