4006-555-883

Let's Encrypt 因系统漏洞将吊销近300万张TLS证书

发布时间:2020-03-10 10:46:00

  由于域名验证和证书签发软件中的一个错误,Let's Encrypt将吊销近300万张证书。日前,Let's Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。

  由于事发突然,Let’s encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,此举可能意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用,造成直接的经济损失。

  据悉,这批证书的吊销时间为世界标准时(UTC)3 月 4 日 00:00 整。


  证书吊销事件缘由

  2 月底的时候,Let's Encrypt发现其证书颁发软件中的漏洞导致某些证书不能通过证书颁发机构授权(CAA)正确验证。

  CAA是一项安全功能,允许域管理员创建DNS记录,该记录使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。并且,当局必须在颁发证书不超过8小时前,检查CAA记录。

  Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域都被一次检查。这意味着,在某些域没有被验证的情况下,颁发了证书。

  那么,假设一个订阅者验证了一个域名,并且该域名被允许加密发布,即使某些域名是不符合Let’s Encrypt的CAA记录,该订阅者也能够正常发布包含该域名的证书,直到30天后。

  从3月4日起,Let’s Encrypt将加密撤销高达3048289个当前有效的证书,占其约1.16亿有效证书总数的2.6%。

  天威诚信是中国唯一一家由DigiCert/Symantec直接授权且由中国工信部批准的CA认证机构,专业从事数字证书等技术和产品服务20年,可提供多个产品选择及解决方案,拥有丰富应对和解决各种复杂及突发情况的专业服务支持团队,提供全天候7*24小时服务、一对一技术指导,可以为受影响的用户提供及时的帮助支持,快速完成SSL证书替换部署,减少您因为此次突发事件所产生的经济损失。

  目前,SSL证书按照安全等级分为最低安全级别 DV(域名型)、其次 OV(组织型)和最高安全级别 EV(增强型)三种。

  从此次事件来看,免费DV SSL证书缺失了网站身份认证功能,虽然降低了部署成本,但也成为了钓鱼网站、恶意网站用于仿冒合法网站的工具。

  近几年频发的免费SSL证书安全事件足以表明DV 型证书仅仅适合于个人用户体验和非商业网站测试使用,天威诚信建议商用站点选择 OV 型或者更高安全级别的 EV 型证书。同时建议企业用户通过专业SSL证书提供商申请OV和EV SSL证书,毕竟专业的服务团队和技术支持团队才能更好地保证网站的持续性稳定,解决SSL证书配置更新的后顾之忧。

最新发布
1
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
2
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
3
政府机构频遭黑客攻击,国密改造亟需加快推进
4
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
5
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
6
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
7
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
8
警惕!银行系统漏洞频发,国密改造亟需加快推进
9
4·15国家安全教育日 | 网络安全,你我共建
10
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
相关推荐
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
政府机构频遭黑客攻击,国密改造亟需加快推进
警惕!银行系统漏洞频发,国密改造亟需加快推进
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
4·15国家安全教育日 | 网络安全,你我共建
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
十部委联合发文鼓励 国密算法证书迎来高速发展
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!