今天(3月4日)起，由于域驗(yàn)證和發(fā)布軟件中的一個(gè)錯(cuò)誤，Let’s Encrypt將吊銷近300萬(wàn)個(gè)證書。日前，Let’s Encrypt已經(jīng)向受影響的客戶發(fā)郵件告知，以便其及時(shí)地更新。

發(fā)送給受影響用戶的電子郵件

2 月底的時(shí)候，Let’s Encrypt發(fā)現(xiàn)其證書頒發(fā)機(jī)構(gòu)(CA)中的軟件漏洞導(dǎo)致某些證書不能通過(guò)為關(guān)聯(lián)域配置的證書頒發(fā)機(jī)構(gòu)授權(quán)(CAA)正確驗(yàn)證。

漏洞

CAA是一項(xiàng)安全功能，允許域管理員創(chuàng)建DNS記錄，該記錄使得網(wǎng)站所有者，僅授權(quán)指定CA機(jī)構(gòu)為自己的域名頒發(fā)證書，以防止HTTPS證書錯(cuò)誤簽發(fā)。并且，當(dāng)局必須在頒發(fā)證書不超過(guò)8小時(shí)前，檢查CAA記錄。

Let’s Encrypt的CA軟件——Boulder中的漏洞導(dǎo)致多域證書上的一個(gè)域被多次檢查，而不是證書上的所有域都被一次檢查。這意味著，在某些域沒(méi)有被驗(yàn)證的情況下，頒發(fā)了證書。

那么，假設(shè)一個(gè)訂閱者驗(yàn)證了一個(gè)域名，并且該域名被允許加密發(fā)布，即使某些域名是不符合Let’s Encrypt的CAA記錄，該訂閱者也能夠正常發(fā)布包含該域名的證書，直到30天后。

因此，為了避免業(yè)務(wù)中斷，從今天起，Let’s Encrypt將加密撤銷高達(dá)3048289個(gè)當(dāng)前有效的證書，占其約1.16億有效證書總數(shù)的2.6%。

建議相關(guān)用戶盡快更換受影響的證書，否則網(wǎng)站訪客會(huì)看到一個(gè)與證書失效有關(guān)的安全警告。

如果需要檢查域名是否受此漏洞影響并且需要更新，可以在https://checkhost.unboundtest.com/上了解。輸入域名后，頁(yè)面就會(huì)顯示該域名是否受到影響。