4006-555-883

由于漏洞,Let’s Encrypt将撤销近300万个TLS证书

发布时间:2020-03-06 10:56:00

  3月4日起,由于域验证和发布软件中的一个错误,Let’s Encrypt将吊销近300万个证书。日前,Let’s Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。


  2 月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件漏洞导致某些证书不能通过为关联域配置的证书颁发机构授权(CAA)正确验证。


  CAA是一项安全功能,允许域管理员创建DNS记录,该记录使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。并且,当局必须在颁发证书不超过8小时前,检查CAA记录。

  Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域都被一次检查。这意味着,在某些域没有被验证的情况下,颁发了证书。

  那么,假设一个订阅者验证了一个域名,并且该域名被允许加密发布,即使某些域名是不符合Let’s Encrypt的CAA记录,该订阅者也能够正常发布包含该域名的证书,直到30天后。

  因此,为了避免业务中断,从3月4日起,Let’s Encrypt将加密撤销高达3048289个当前有效的证书,占其约1.16亿有效证书总数的2.6%。

  建议相关用户尽快更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

  (内容来源于freebuf.com)

最新发布
1
十部委联合发文鼓励 国密算法证书迎来高速发展
2
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
3
Tengine+BabaSSL强强联合,vTrus证书大有可为
4
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
5
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
6
14.3亿!这家公司将面临比薇娅还高的罚款
7
形势将更严峻!DigiCert发布2022年度八大安全预测
8
频遭网络诈骗,是因为他们还不知道这个……
9
松下集团发生数据泄露 及时部署SSL证书保障信息安全
10
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
相关推荐
14.3亿!这家公司将面临比薇娅还高的罚款
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
松下集团发生数据泄露 及时部署SSL证书保障信息安全
CA/B三季度信息汇总:效率与安全并重
形势将更严峻!DigiCert发布2022年度八大安全预测
划重点!《人民法院在线诉讼规则》正在施行中
《网络安全审查办法(修订草案征求意见稿)》解读
企业数字化转型,数据安全是关键!
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
惊!91%的工业企业容易遭受网络攻击