|
|
|
联系客服020-83701501

因CA授权错误,Let’s Encrypt将撤销近300万个TLS证书

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  由于证书颁发机构的错误授权,数百万个传输层安全证书将被吊销。最近,Let’s Encrypt向受影响的客户发送了一封电子邮件,通知他们可以及时更新。

因CA授权错误,Let’s Encrypt将撤销近300万个TLS证书

  Let's Encrypt表示,它将撤销300万传输层安全(TLS)证书,原因是证书颁发机构授权(CAA)的错误。这可能意味着依赖这些证书来保护敏感数据流的数百万个网站和机器身份可能被识别为不安全或不可用。

  Threatpost联系的证书用户表示,他们已在3月3号收到撤销通知,并给予24小时来解决问题。该证书将于美国东部时间3月4号晚9:00被吊销。

  2月底,Let’s Encrypt在其证书颁发机构(CA)中发现了软件漏洞,该漏洞导致一些证书未能通过为相关域配置的证书颁发机构授权(CAA)。

  CAA是一项安全功能,允许域管理员创建DNS记录,允许网站所有者仅授权指定的CA机构为其域名颁发证书,以防止HTTPS证书被错误颁发。此外,当局必须在签发证书前不超过8小时检查CAA的记录。

  Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域被一次检查。这意味着当某些域未被验证时,证书将被颁发。

  然后,假设一个用户已经验证了一个域名,并且该域名被允许加密,即使一些域名是不符合Let’s Encrypt的CAA记录,该用户也可以正常发布包含该域名的证书,直至30天后!

  因此,为了避免业务中断,Let’s Encrypt将从今天起撤销多达3048289个当前有效的证书,占其约1.16亿个有效证书总数的2.6%。

  建议相关用户尽快更换受影响的证书,否则网站访问者会看到与证书失效相关的安全警告。

数安新闻+更多

证书相关+更多