由於用於在頒發證書之前驗證用戶及其域的軟件中的漏洞,Let’s Encrypt certificate authority (CA)今天將吊銷300萬個證書。
Let's Encrypt的證書頒發機構(CA)軟件中的一個錯誤,稱爲Boulder,導致對某些證書的正確驗證。
該錯誤影響了Boulder實施CAA(證書頒發機構授權)規範的方式。
CAA安全功能允許域所有者阻止證書頒發機構(CA)爲其域頒發證書。
域所有者可以將CAA字段添加到其域的DNS記錄中,這意味着只有包含在該字段中的CA可以爲該域頒發TLS證書。
在爲某個域頒發證書之前,每個證書頒發機構最多必須在8小時內檢查證書頒發機構的記錄,但是該錯誤導致多域證書上的域被檢查多次,而不是證書上的所有域被同時檢查。
這種行爲導致頒發證書時沒有爲某些域提供適當的CAA列表。
Let’s Encrypt 發現一個漏洞在我們的CAA代碼。 我們的CA軟件Boulder在驗證用戶對域名的控制的同時,檢查CAA記錄。 大多數訂閱者在域控制驗證之後立即頒發證書,但是我們認爲驗證有效期爲30天。 這意味着,在某些情況下,我們需要在CAA記錄發佈之前再次檢查。 具體來說,我們必須在發佈前8小時內檢查CAA(根據BRs 3.2.2.8),因此任何在8小時前驗證過的域名都需要重新檢查。 請閱讀Let s Encrypt發佈的公告。
“Bug: 當證書請求包含N個域名需要CAA重新檢查時,Boulder會選擇一個域名並對其進行N次檢查。 實際上,這意味着如果訂戶在X時刻驗證了一個域名,並且CAA在X時刻對該域名進行了記錄,則允許我們進行加密發行,該訂戶將能夠頒發包含該域名的證書,直到X + 30 天,即使後來有人在該域名上安裝了禁止通過Let's Encrypt發行的CAA記錄,”
Let’s Encrypt撤銷了3048,289個證書,約1.16億個證書(2.6%)處於活動狀態。 該組織在2020-02-29 03:08 UTC確認了這個bug,兩分鐘後停止了發佈。 在幾個小時內(世界標準時間5點22分),它修復了問題並重新啓用了發行。 據Let s加密公司稱,該漏洞可能是在2019-07-25年出現的。
用戶可以在 https://checkhost.unboundtest.com/ 上查詢該工具來檢查其域是否受此錯誤影響。
關注獲取海量教程視頻