由于Bug,Let‘s Encrypt决定吊销300多万张证书!

公益型数字证书颁发机构(CA) Let‘s Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let‘s Encrypt 建议用户在3月4日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

由于事发的突然性和时区问题,以及因为免费证书导致本身服务能力较弱,Let‘s Encrypt只给一些公司不到2小时的通知,仅通知到其中极少部分的用户。

据统计,由于过期证书而导致的意外业务中断可能造成的损失超过1100万美元,对于那些不知道自己因无法预计的原因而经历业务中断的企业将会造成巨大损失!

Let‘s Encrypt 在邮件中写道:很遗憾,这意味着我们需要撤销受此错误影响的一批证书,其中包括您的一个或多个证书。因此造成的不便,我们深表歉意。

如果客户无法在证书被吊销(3月4日)前更新,网站访客将看到安全警告,直到证书再次更新。新证书的续签流程,可以在 ACME 文档中找到。

证书吊销事件起因:CAA验证Bug

CAA是一种 DNS 记录,它允许站点所有者指定允许证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA “降低意外颁发证书的风险”。默认情况下,每个公共 CA 在验证申请者的域名控制权后可以为任何在公共 DNS 中的域名颁发证书。这意味着如果某个CA的验证流程出现错误,所有域名都有可能受到影响。CAA记录为域名持有者提供了降低这类风险的方法。

CA签发证书的时候,会去查询和验证CAA记录,用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期,如果超过8小时需要重新查询和验证。

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let‘s Encrypt 会强制将其吊销。

安全专家警告说:此次漏洞可能为恶意***者打开控制网站上TLS证书的门,从而使***能够窃听网络流量并收集敏感数据。

例如:***可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。

Bug时间线:

? 2019-07-25 的代码引入Bug

? 2020-02-29 03:08 (UTC)确认该Bug的存在

? 2020-02-29 03:10 (UTC)暂停证书签发

? 2020-02-29 05:22 (UTC)修复代码

? Let‘s Encrypt计划在2020-03-05 03:00(UTC)之前完成吊销证书工作

用户影响:

1、接到邮件通知的用户需要重新颁发一次证书;

2、用户可以自己检测证书是否需要重新颁发;

3、如果没有正确重新签发证书,将会导致网站无法访问;

如何检测证书是否需要重新颁发:

建议使用MySSL.com检测工具查看部署的证书是否吊销,如需检测更多HTTPS网站部署异常情况,可通过MySSL企业版进行持续监控。

安全建议:

网站所有者可依靠证书自动化管理平台(如:一站式证书智能管理系统 CertManager),以此避免此类证书吊销事件引起的网站业务中断。

免费证书易引发安全风险

作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL/TLS证书(服务器证书)来认证网站身份和进行HTTPS流量加密,避免“钓鱼”网站和信息泄露的危害。

SSL/TLS证书由数字证书颁发机构(CA)签发,目前,SSL证书按照安全等级分为最低安全级别 DV(域名型)、其次 OV(组织型)和最高安全级别 EV(增强型)三种。

Let‘s Encrypt 提供的是最低安全级别的免费DV(域名型 )SSL 证书,且证书有效期为90天。

免费SSL证书适用于个人用户体验和企业测试,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美。并不适合商业用户。

CA在签发 OV 型和 EV 型证书时,会验证组织身份,经过严格的审核后才会颁发。所以 OV 型和 EV 型证书在实现HTTPS加密协议的同时可以标示网站身份,起到一定的反钓鱼功能,提高访客对网站的信心。

而DV型证书,仅通过系统验证域名控制权,不验证组织身份信息的真实性,申请机构是否经过合法注册则被完全忽视。它能起到基础的HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者组织身份的真实性验证。

所以,对于安全事件频发的免费DV SSL证书仅仅推荐个人用户体验和非商业网站测试使用,商用站点建议选择 OV 型或者更高安全级别的 EV 型证书。

原文地址:https://blog.51cto.com/13954109/2475793

时间: 2024-10-09 20:11:52

由于Bug,Let‘s Encrypt决定吊销300多万张证书!的相关文章

Let's Encrypt,免费好用的 HTTPS 证书

#参考https://imququ.com/post/letsencrypt-certificate.html#####argparse安装#http://www.cnblogs.com/emanlee/p/4577249.html 很早之前我就在关注 Let's Encrypt 这个免费.自动化.开放的证书签发服务.它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织.Let's E

证书过期?私钥泄露?原来,企业证书管理不当竟有这么多安全风险!

前段时间,Let's Encrypt吊销300多万张证书的事件一经曝出,再次给HTTPS部署安全敲响警钟-- 作为网络世界的ID,SSL证书保障着互联网安全中最基础的一环,通过HTTPS加密和SSL认证机制提供数据传输加密.数据完整性保护.服务器身份认证三大功能. 然而,当网站部署SSL证书并升级成HTTPS后,是否就做到真正安全了? 证书过期?私钥泄露?管理繁琐?赶紧来看看,在日常的企业证书管理中,您有没有遇到以下这些困惑呢? 1.由于证书失效过期没有及时更新导致的停机.网站业务意外中断: 2

IOS开发之开发者账号遇到的bug

今天使用开发者账号过期的问题,文件显示 其实今天的问题和这个没有关系,即使上面显示此证书的签发者无效,有时候也是可以用的. 我这里情况比较奇葩,刚刚生成的开发者账号,显示还是"......无效",真是见了鬼了. 在XCode真机运行老出现一个bug或者是提示信息(用Google查了之后)就是证书过期不能用了. 但是经过一下设置,就恢复了作用了:

Let's Encrypt,站点加密之旅

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL. Let's Encrypt,是2016年4月12日成立的一家证书授权中心,提供免费的传输层安全(TLS)X.509证书,通过自动化的过程消除目前安全网站证书需要手工创建,加密,签名,安装以及更新的复杂性. 一直以来都觉得浏览器

证书吊销列表(CRL)介绍

一.证书吊销列表(CRL) 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期. CRL 文件中还包含证书颁发机构信息.吊销列表失效时间和下一次更新时间,以及采用的签名算法等.证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系统时设置.如下图所示: 证书吊销列表分发点 (CRL Distrib

centos+nginx申请Let's Encrypt 通配符HTTPS证书

Let's Encrypt 宣布 ACME v2 正式支持通配符证书,并将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书.消息一出,马上就有热心用户分享出了 Let's Encrypt 通配符 HTTPS 证书的申请方式,下面我们一起来学习下吧! 配置环境: 操作系统:Ubuntu 16.04.2 LTS 配置域名:tinywan.top 具体步骤 1.获取certbot-auto 1 2 3 4 5 # 下载 wget https://dl.eff.org/certb

Windows Ubuntu Bash申请免费通配符证书(Let's Encrypt)并绑定IIS

什么是 Let’s Encrypt? 部署 HTTPS 网站的时候需要证书,证书由 CA 机构签发,大部分传统 CA 机构签发证书是需要收费的,这不利于推动 HTTPS 协议的使用. Let’s Encrypt 也是一个 CA 机构,但这个 CA 机构是免费的!!!也就是说签发证书不需要任何费用. 什么是通配符证书 在没有出现通配符证书之前,Let’s Encrypt 支持两种证书. 1)单域名证书:证书仅仅包含一个主机. 2)SAN 证书:一张证书可以包括多个主机(Let’s Encrypt

生成线上用https证书,支持通配符和多域名,初学Let’s Encrypt用于IIS,纯本地手动

自简书发布的上篇<生成本地测试用https证书,支持通配符和多域名,初学OpenSSL>以来,本地测试用https用的妥妥的. 线上一直用的腾讯云的免费证书(每个域名都要一个证书(滑稽),今天线上用的通配符证书也搞定了,实现了一个证书包含多个域名(多个泛域名). 今年(2018)年初Let’s Encrypt已开放了通配符证书的申请<Wildcard Certificates Coming January 2018>,目前只支持通过dns解析进行验证.没有通配符的证书时在心里感觉用

Spring与JavaMail

JavaMail与Spring集成开发 spring框架集成JavaMail的主要包 2.mail.properties mail.smtp.host=smtp.163.com mail.smtp.auth=true mail.username=15511111111 mail.password=123 [email protected] 3.使用spring配置(applicationContext-mail.xml) <?xml version="1.0" encoding=