Let’s Encrypt吊銷300多萬張證書的事件再次提醒我們，您部署的HTTPS安全嗎？

　　公益型數(shù)字證書頒發(fā)機構(gòu)(CA) Let’s Encrypt 不久前宣布，于(世界標準時間UTC)3月4日起撤銷3,048,289張有效SSL/TLS 證書，并向受影響的客戶發(fā)郵件告知，以便其及時更新。為避免用戶業(yè)務(wù)中斷，Let’s Encrypt 建議用戶在3月4日前更換受影響的證書，否則網(wǎng)站訪客會看到一個與證書失效有關(guān)的安全警告。

　　證書吊銷事件起因：CAA驗證Bug

　　CAA是一種 DNS 記錄，它允許站點所有者指定允許證書頒發(fā)機構(gòu)(CA)頒發(fā)包含其域名的證書。該記錄在 2013 年由 RFC 6844 標準化，以允許 CA “降低意外頒發(fā)證書的風險”。默認情況下，每個公共 CA 在驗證申請者的域名控制權(quán)后可以為任何在公共 DNS 中的域名頒發(fā)證書。這意味著如果某個CA的驗證流程出現(xiàn)錯誤，所有域名都有可能受到影響。CAA記錄為域名持有者提供了降低這類風險的方法。

　　CA簽發(fā)證書的時候，會去查詢和驗證CAA記錄，用以確認自己是否有資格為該域名頒發(fā)證書。這個查詢驗證結(jié)果按照規(guī)范只有8小時的有效期，如果超過8小時需要重新查詢和驗證。

　　2月底的時候，Let’s Encrypt發(fā)現(xiàn)其證書頒發(fā)機構(gòu)（CA）中的軟件（稱為Boulder）存在CAA驗證漏洞。Boulder中的漏洞導(dǎo)致多域證書中的一個域被驗證多次CAA，而不是證書中的所有域都被驗證一次CAA。這意味著，該漏洞造成部分證書在簽發(fā)前沒有按照規(guī)范去驗證CAA。因此，對于這批證書 Let’s Encrypt 會強制將其吊銷。

　　安全專家警告說：此次漏洞可能為惡意攻擊者打開控制網(wǎng)站上TLS證書的門，從而使黑客能夠竊聽網(wǎng)絡(luò)流量并收集敏感數(shù)據(jù)。

　　例如：黑客可以通過 DNS劫持簽發(fā)domain.com的 DV證書，并且順利的利用瀏覽器安全提示，從而實現(xiàn)釣魚網(wǎng)站，竊取用戶的賬號，密碼等重要信息資料。

　　用戶影響：

　　1、接到郵件通知的用戶需要重新頒發(fā)一次證書;

　　2、用戶可以自己檢測證書是否需要重新頒發(fā);

　　3、如果沒有正確重新簽發(fā)證書，將會導(dǎo)致網(wǎng)站無法訪問;

　　免費證書和商業(yè)證書的區(qū)別

　　如何檢測證書是否需要重新頒發(fā)：建議使用MySSL.com檢測工具查看部署的證書是否吊銷，如需檢測更多HTTPS網(wǎng)站部署異常情況，可通過MySSL企業(yè)版進行持續(xù)監(jiān)控。

　　如何保障HTTPS在應(yīng)用中的安全

　　基于此次事件，亞洲誠信作為SSL證書領(lǐng)域的專業(yè)服務(wù)商，提供以下解決方案：

　　TrustAsia品牌SSL證書具備RSA/ECC雙加密算法支持、最佳兼容性、快速簽發(fā)、標示官網(wǎng)身份(反釣魚)等優(yōu)勢，可以幫助用戶快速實現(xiàn)HTTPS。

　　亞洲誠信推出的MySSL企業(yè)版，可以管理多個HTTPS站點,對其中指定站點進行持續(xù)監(jiān)控告警，同時還對HTTPS站點進行安全評級，SSL漏洞分布，證書有效期，證書品牌和證書類型進行一站式統(tǒng)一智能管理，確保HTTPS的應(yīng)用更快更安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。