當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

Let's Encrypt 因系統(tǒng)漏洞將吊銷近300萬(wàn)張TLS證書

 2020-03-10 10:58  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

由于域名驗(yàn)證和證書簽發(fā)軟件中的一個(gè)錯(cuò)誤,Let's Encrypt將吊銷近300萬(wàn)張證書。日前,Let's Encrypt已經(jīng)向受影響的客戶發(fā)郵件告知,以便其及時(shí)地更新。

由于事發(fā)突然,Let’s encrypt僅對(duì)有聯(lián)系方式的用戶進(jìn)行了郵件通知,且從通知到吊銷留給用戶的更新時(shí)間不足24小時(shí),此舉可能意味著數(shù)百萬(wàn)依賴這些證書來(lái)保護(hù)敏感數(shù)據(jù)流的網(wǎng)站和機(jī)器身份可能會(huì)被識(shí)別為不安全或不可用,造成直接的經(jīng)濟(jì)損失。

據(jù)悉,這批證書的吊銷時(shí)間為世界標(biāo)準(zhǔn)時(shí)(UTC)3 月 4 日 00:00 整。

證書吊銷事件緣由

2 月底的時(shí)候,Let's Encrypt發(fā)現(xiàn)其證書頒發(fā)軟件中的漏洞導(dǎo)致某些證書不能通過(guò)證書頒發(fā)機(jī)構(gòu)授權(quán)(CAA)正確驗(yàn)證。

CAA是一項(xiàng)安全功能,允許域管理員創(chuàng)建DNS記錄,該記錄使得網(wǎng)站所有者,僅授權(quán)指定CA機(jī)構(gòu)為自己的域名頒發(fā)證書,以防止HTTPS證書錯(cuò)誤簽發(fā)。并且,當(dāng)局必須在頒發(fā)證書不超過(guò)8小時(shí)前,檢查CAA記錄。

Let’s Encrypt的CA軟件——Boulder中的漏洞導(dǎo)致多域證書上的一個(gè)域被多次檢查,而不是證書上的所有域都被一次檢查。這意味著,在某些域沒(méi)有被驗(yàn)證的情況下,頒發(fā)了證書。

那么,假設(shè)一個(gè)訂閱者驗(yàn)證了一個(gè)域名,并且該域名被允許加密發(fā)布,即使某些域名是不符合Let’s Encrypt的CAA記錄,該訂閱者也能夠正常發(fā)布包含該域名的證書,直到30天后。

從3月4日起,Let’s Encrypt將加密撤銷高達(dá)3048289個(gè)當(dāng)前有效的證書,占其約1.16億有效證書總數(shù)的2.6%。

天威誠(chéng)信是中國(guó)唯一一家由DigiCert/Symantec直接授權(quán)且由中國(guó)工信部批準(zhǔn)的CA認(rèn)證機(jī)構(gòu),專業(yè)從事數(shù)字證書等技術(shù)和產(chǎn)品服務(wù)20年,可提供多個(gè)產(chǎn)品選擇及解決方案,擁有豐富應(yīng)對(duì)和解決各種復(fù)雜及突發(fā)情況的專業(yè)服務(wù)支持團(tuán)隊(duì),提供全天候7*24小時(shí)服務(wù)、一對(duì)一技術(shù)指導(dǎo),可以為受影響的用戶提供及時(shí)的幫助支持,快速完成SSL證書替換部署,減少您因?yàn)榇舜瓮话l(fā)事件所產(chǎn)生的經(jīng)濟(jì)損失。

目前,SSL證書按照安全等級(jí)分為最低安全級(jí)別 DV(域名型)、其次 OV(組織型)和最高安全級(jí)別 EV(增強(qiáng)型)三種。

從此次事件來(lái)看,免費(fèi)DV SSL證書缺失了網(wǎng)站身份認(rèn)證功能,雖然降低了部署成本,但也成為了釣魚網(wǎng)站、惡意網(wǎng)站用于仿冒合法網(wǎng)站的工具。

近幾年頻發(fā)的免費(fèi)SSL證書安全事件足以表明DV 型證書僅僅適合于個(gè)人用戶體驗(yàn)和非商業(yè)網(wǎng)站測(cè)試使用,天威誠(chéng)信建議商用站點(diǎn)選擇 OV 型或者更高安全級(jí)別的 EV 型證書。同時(shí)建議企業(yè)用戶通過(guò)專業(yè)SSL證書提供商申請(qǐng)OV和EV SSL證書,畢竟專業(yè)的服務(wù)團(tuán)隊(duì)和技術(shù)支持團(tuán)隊(duì)才能更好地保證網(wǎng)站的持續(xù)性穩(wěn)定,解決SSL證書配置更新的后顧之憂。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
安全漏洞
ssl證書

相關(guān)文章

  • 高級(jí)SSL證書直降1000+ 安信證書帶你清涼一夏

    夏日炎炎,烈日高照,這個(gè)季節(jié)最需要的就是清涼!而安信證書夏季大放價(jià)活動(dòng),正是為了讓您以清涼的價(jià)格,使您的網(wǎng)站可以獲得更加專業(yè)的SSL保護(hù),更加輕松地應(yīng)對(duì)網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。此次夏季活動(dòng)中,有大家比較熟悉的國(guó)際知名品牌GeoTrust、Sectigo等,還有DV、OV、EV等不同驗(yàn)證類型的SSL證書,

    標(biāo)簽:
    ssl證書
  • 為什么選擇OV SSL證書?OV SSL證書品牌推薦

    OVSSL證書中文全稱為“組織驗(yàn)證型SSL證書”,該證書除需要驗(yàn)證網(wǎng)站域名外,還需對(duì)網(wǎng)站所屬企業(yè)進(jìn)行嚴(yán)格身份認(rèn)證審核。通過(guò)審核的企業(yè)單位才能簽發(fā)證書,以此來(lái)保障網(wǎng)站真實(shí)性和合法性。

    標(biāo)簽:
    ssl證書
  • 嗨翻五一 限時(shí)優(yōu)惠 | 通配符SSL證書最高直降3000元

    春未盡,夏初臨,在季節(jié)流轉(zhuǎn)之間,五一小長(zhǎng)假即將如約而至。安信證書(https://www.anxinssl.com/)作為國(guó)內(nèi)領(lǐng)先的https解決方案服務(wù)商,為回饋廣大新老用戶,為您的信息安全保駕護(hù)航,為大家?guī)?lái)了SSL數(shù)字證書專場(chǎng)活動(dòng)。精選爆款通配符SSL證書,助您低成本實(shí)現(xiàn)網(wǎng)站安全合規(guī)!活動(dòng)詳情

    標(biāo)簽:
    ssl證書
  • 為什么需要定期更新SSL證書?

    SSL數(shù)字證書對(duì)網(wǎng)站運(yùn)行的安全性起到極大的保障,現(xiàn)如今大多數(shù)網(wǎng)站都會(huì)安裝部署,可以起到數(shù)據(jù)加密的作用。通常SSL證書的有效期為一年左右,有效期結(jié)束后網(wǎng)站的SSL證書就會(huì)失效。如果想要繼續(xù)保護(hù)網(wǎng)站,只能提前續(xù)費(fèi)或重新申請(qǐng)。那么,為什么需要定期更新SSL證書呢?RAKsmart為大家?guī)?lái)簡(jiǎn)單介紹:1、定

    標(biāo)簽:
    ssl證書
  • 失去SSL證書的保護(hù),將對(duì)網(wǎng)站安全造成哪些影響?

    在經(jīng)濟(jì)全球化、網(wǎng)絡(luò)化的時(shí)代,重要信息傳輸和產(chǎn)品買賣及服務(wù)都需要網(wǎng)絡(luò)的支撐,隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展,網(wǎng)絡(luò)安全逐步成為企業(yè)關(guān)注的焦點(diǎn)。但現(xiàn)實(shí)情況是,全球各地的網(wǎng)絡(luò)犯罪分子依然潛伏在各個(gè)角落,尋找時(shí)機(jī)入侵企業(yè)網(wǎng)站,竊取企業(yè)經(jīng)營(yíng)數(shù)據(jù)和用戶敏感信息。如果您的企業(yè)擁有網(wǎng)站尤其是具有交易功能的網(wǎng)站,則必須使用

    標(biāo)簽:
    ssl證書

熱門排行

信息推薦