由于漏洞,Let’s Encrypt将撤销近300万个TLS证书

发布时间:2020-03-06 10:56:00

  3月4日起,由于域验证和发布软件中的一个错误,Let’s Encrypt将吊销近300万个证书。日前,Let’s Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。


  2 月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件漏洞导致某些证书不能通过为关联域配置的证书颁发机构授权(CAA)正确验证。


  CAA是一项安全功能,允许域管理员创建DNS记录,该记录使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。并且,当局必须在颁发证书不超过8小时前,检查CAA记录。

  Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域都被一次检查。这意味着,在某些域没有被验证的情况下,颁发了证书。

  那么,假设一个订阅者验证了一个域名,并且该域名被允许加密发布,即使某些域名是不符合Let’s Encrypt的CAA记录,该订阅者也能够正常发布包含该域名的证书,直到30天后。

  因此,为了避免业务中断,从3月4日起,Let’s Encrypt将加密撤销高达3048289个当前有效的证书,占其约1.16亿有效证书总数的2.6%。

  建议相关用户尽快更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

  (内容来源于freebuf.com)

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
由于证书过期,Pulse Secure VPN用户无法登录
不知道如何“不见面”招投标?天威诚信来帮你!
5.33亿Facebook用户的电话号码在黑客论坛被泄露
规范“人脸识别”,为盗刷者戴上“紧箍咒”
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
Google将在Linux版Chrome上推出DoH支持
加州大学遭勒索软件攻击,隐私数据大规模泄漏
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!