Let’s Encrypt 错误吊销其颁发的300万个TLS证书

没有评论

因为免费签发TLS证书签名机构Let’s Encrypt将在接下来的24小时内吊销超过300万个TLS证书,这些证书可能由于其证书颁发机构软件中的错误而被错误地颁发。

Let's Encrypt 错误吊销其颁发的300万个TLS证书-电脑前沿网

该漏洞在2月29日被Let’s Encrypt 确认,并在发现后两个小时修复。该漏洞影响了它在发行新的TLS证书之前检查域名所有权的方式。

该认证机构授权 (CAA)是一种互联网安全策略,它允许域名持有者向证书颁发机构(CA)指示他们是否被授权为特定域名颁发数字证书。

从加密之日起,我们让Encrypt认为域验证结果仅在30天之内有效,此后,它会在颁发证书之前重新检查授权该域的CAA记录。该错误是由Let’s Encrypt使用的证书签名软件Boulder的代码中发现:

“当证书请求包含需要CAA重新检查的N个域名时,Boulder将选择一个域名并对其进行N次检查。” 换句话说,当Boulder需要解析例如一组需要CAA重新检查的5个域名时,它将对一个域名进行5次检查,而不是对5个域中的每一个进行一次检查。
该公司表示,该漏洞是在2019年7月进行更新时引入的。

这意味着Let’s Encrypt可能已经发布了它本来不应该发布的证书,因此它撤销了所有TLS证书。受错误影响。

上周,Let’s Encrypt项目宣布其自2015年推出以来已发行了10亿美元的免费TLS证书。

Let's Encrypt 错误吊销其颁发的300万个TLS证书-电脑前沿网

Let’s Encrypt 声称在其1.16亿个活动证书中有2.6%受到影响,大约为3,048,289,其中约100万是其他受影响证书的副本。

受影响的网站所有者必须在3月4日世界标准时间(UTC)(美国东部标准时间3PM)之前手动更新和替换他们的证书,否则证书被吊销的网站访问者将受到TLS安全警告的欢迎,直到更新过程完成为止。

值得注意的是,Let’s Encrypt颁发的证书有效期为90天,并且ACME客户端(如Certbot)可以自动更新它们。

但是,随着Let’s Encrypt撤销所有受影响的证书,网站管理员将不得不执行强制更新以防止任何中断。

相关内容

发表评论

电子邮件地址不会被公开。 必填项已用*标注