4006-555-883

由于漏洞,Let’s Encrypt将撤销近300万个TLS证书

发布时间:2020-03-06 10:56:00

  3月4日起,由于域验证和发布软件中的一个错误,Let’s Encrypt将吊销近300万个证书。日前,Let’s Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。


  2 月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件漏洞导致某些证书不能通过为关联域配置的证书颁发机构授权(CAA)正确验证。


  CAA是一项安全功能,允许域管理员创建DNS记录,该记录使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。并且,当局必须在颁发证书不超过8小时前,检查CAA记录。

  Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域都被一次检查。这意味着,在某些域没有被验证的情况下,颁发了证书。

  那么,假设一个订阅者验证了一个域名,并且该域名被允许加密发布,即使某些域名是不符合Let’s Encrypt的CAA记录,该订阅者也能够正常发布包含该域名的证书,直到30天后。

  因此,为了避免业务中断,从3月4日起,Let’s Encrypt将加密撤销高达3048289个当前有效的证书,占其约1.16亿有效证书总数的2.6%。

  建议相关用户尽快更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

  (内容来源于freebuf.com)

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
Tengine+BabaSSL强强联合,vTrus证书大有可为
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
政府机构频遭黑客攻击,国密改造亟需加快推进
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
4·15国家安全教育日 | 网络安全,你我共建
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松