公益型數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)(CA) Let’s Encrypt 不久前宣布，于(世界標(biāo)準(zhǔn)時(shí)間UTC)3月4日起撤銷(xiāo)3,048,289張有效SSL/TLS 證書(shū)，并向受影響的客戶(hù)發(fā)郵件告知，以便其及時(shí)更新。為避免用戶(hù)業(yè)務(wù)中斷，Let’s Encrypt 建議用戶(hù)在3月4日前更換受影響的證書(shū)，否則網(wǎng)站訪(fǎng)客會(huì)看到一個(gè)與證書(shū)失效有關(guān)的安全警告。

　　證書(shū)吊銷(xiāo)事件起因：CAA驗(yàn)證Bug

　　CAA是一種 DNS 記錄，它允許站點(diǎn)所有者指定允許證書(shū)頒發(fā)機(jī)構(gòu)(CA)頒發(fā)包含其域名的證書(shū)。該記錄在 2013 年由 RFC 6844 標(biāo)準(zhǔn)化，以允許 CA “降低意外頒發(fā)證書(shū)的風(fēng)險(xiǎn)”。默認(rèn)情況下，每個(gè)公共 CA 在驗(yàn)證申請(qǐng)者的域名控制權(quán)后可以為任何在公共 DNS 中的域名頒發(fā)證書(shū)。這意味著如果某個(gè)CA的驗(yàn)證流程出現(xiàn)錯(cuò)誤，所有域名都有可能受到影響。CAA記錄為域名持有者提供了降低這類(lèi)風(fēng)險(xiǎn)的方法。

　　CA簽發(fā)證書(shū)的時(shí)候，會(huì)去查詢(xún)和驗(yàn)證CAA記錄，用以確認(rèn)自己是否有資格為該域名頒發(fā)證書(shū)。這個(gè)查詢(xún)驗(yàn)證結(jié)果按照規(guī)范只有8小時(shí)的有效期，如果超過(guò)8小時(shí)需要重新查詢(xún)和驗(yàn)證。

　　2月底的時(shí)候，Let’s Encrypt發(fā)現(xiàn)其證書(shū)頒發(fā)機(jī)構(gòu)（CA）中的軟件（稱(chēng)為Boulder）存在CAA驗(yàn)證漏洞。Boulder中的漏洞導(dǎo)致多域證書(shū)中的一個(gè)域被驗(yàn)證多次CAA，而不是證書(shū)中的所有域都被驗(yàn)證一次CAA。這意味著，該漏洞造成部分證書(shū)在簽發(fā)前沒(méi)有按照規(guī)范去驗(yàn)證CAA。因此，對(duì)于這批證書(shū) Let’s Encrypt 會(huì)強(qiáng)制將其吊銷(xiāo)。

　　安全專(zhuān)家警告說(shuō)：此次漏洞可能為惡意攻擊者打開(kāi)控制網(wǎng)站上TLS證書(shū)的門(mén)，從而使黑客能夠竊聽(tīng)網(wǎng)絡(luò)流量并收集敏感數(shù)據(jù)。

　　例如：黑客可以通過(guò) DNS劫持簽發(fā)domain.com的 DV證書(shū)，并且順利的利用瀏覽器安全提示，從而實(shí)現(xiàn)釣魚(yú)網(wǎng)站，竊取用戶(hù)的賬號(hào)，密碼等重要信息資料。

　　用戶(hù)影響：

　　1、接到郵件通知的用戶(hù)需要重新頒發(fā)一次證書(shū);

　　2、用戶(hù)可以自己檢測(cè)證書(shū)是否需要重新頒發(fā);

　　3、如果沒(méi)有正確重新簽發(fā)證書(shū)，將會(huì)導(dǎo)致網(wǎng)站無(wú)法訪(fǎng)問(wèn);

　　免費(fèi)證書(shū)和商業(yè)證書(shū)的區(qū)別

　　如何檢測(cè)證書(shū)是否需要重新頒發(fā)：建議使用MySSL.com檢測(cè)工具查看部署的證書(shū)是否吊銷(xiāo)，如需檢測(cè)更多HTTPS網(wǎng)站部署異常情況，可通過(guò)MySSL企業(yè)版進(jìn)行持續(xù)監(jiān)控。

　　如何保障HTTPS在應(yīng)用中的安全

　　基于此次事件，亞洲誠(chéng)信作為SSL證書(shū)領(lǐng)域的專(zhuān)業(yè)服務(wù)商，提供以下解決方案：

　　TrustAsia品牌SSL證書(shū)具備RSA/ECC雙加密算法支持、最佳兼容性、快速簽發(fā)、標(biāo)示官網(wǎng)身份(反釣魚(yú))等優(yōu)勢(shì)，可以幫助用戶(hù)快速實(shí)現(xiàn)HTTPS。

　　亞洲誠(chéng)信推出的MySSL企業(yè)版，可以管理多個(gè)HTTPS站點(diǎn),對(duì)其中指定站點(diǎn)進(jìn)行持續(xù)監(jiān)控告警，同時(shí)還對(duì)HTTPS站點(diǎn)進(jìn)行安全評(píng)級(jí)，SSL漏洞分布，證書(shū)有效期，證書(shū)品牌和證書(shū)類(lèi)型進(jìn)行一站式統(tǒng)一智能管理，確保HTTPS的應(yīng)用更快更安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀(guān)點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。