由于漏洞,Let's Encrypt将从今天起撤销近300万个TLS证书

栏目: IT技术 · 发布时间: 4年前

今天(3月4日 起,由于域验证和发布软件中的一个错误,Let’s Encrypt将吊销近300万个证书。日前, Let’s Encrypt已经 向受影响的客户发邮件告知,以便其及时地更新。 

由于漏洞,Let's Encrypt将从今天起撤销近300万个TLS证书

发送给受影响用户的电子邮件

2 月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件漏洞导致某些证书不能通过为关联域配置的证书颁发机构授权(CAA)正确验证。

由于漏洞,Let's Encrypt将从今天起撤销近300万个TLS证书

漏洞

CAA是一项安全功能,允许域管理员创建DNS记录,该记录使得网站所有者,仅授权指定CA机构为自己的域名颁发证书,以防止HTTPS证书错误签发。并且,当局必须在颁发证书不超过8小时前,检查CAA记录。

Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是证书上的所有域都被一次检查。这意味着,在某些域没有被验证的情况下,颁发了证书。

那么,假设一个订阅者验证了一个域名,并且该域名被允许加密发布,即使某些域名是不符合Let’s Encrypt的CAA记录,该订阅者也能够正常发布包含该域名的证书,直到30天后。

因此,为了避免业务中断,从今天起,Let’s Encrypt将加密撤销高达3048289个当前有效的证书,占其约1.16亿有效证书总数的2.6%。

建议相关用户尽快更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

如果需要检查域名是否受此漏洞影响并且需要更新,可以在 https://checkhost.unboundtest.com/上 了解。输入域名后,页面就会显示该域名是否受到影响。

*本文作者:kirazhou,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

虚拟化与云计算

虚拟化与云计算

《虚拟化与云计算》小组 / 电子工业出版社 / 2009-10 / 45.00元

本书系统阐述了当今信息产业界最受关注的两项新技术——虚拟化与云计算。云计算的目标是将各种IT资源以服务的方式通过互联网交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务,都将像水和电一样方便地被使用,并可按量计费。虚拟化实现了IT资源的逻辑抽象和统一表示,在大规模数据中心管理和解决方案交付方面发挥着巨大的作用,是支撑云计算伟大构想的最重要的技术基石。本书以在数据中心采......一起来看看 《虚拟化与云计算》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试