由于用于在颁发证书之前验证用户及其域的软件中的漏洞,Let’s Encrypt certificate authority (CA)今天将吊销300万个证书。
Let's Encrypt的证书颁发机构(CA)软件中的一个错误,称为Boulder,导致对某些证书的正确验证。
该错误影响了Boulder实施CAA(证书颁发机构授权)规范的方式。
CAA安全功能允许域所有者阻止证书颁发机构(CA)为其域颁发证书。
域所有者可以将CAA字段添加到其域的DNS记录中,这意味着只有包含在该字段中的CA可以为该域颁发TLS证书。
在为某个域颁发证书之前,每个证书颁发机构最多必须在8小时内检查证书颁发机构的记录,但是该错误导致多域证书上的域被检查多次,而不是证书上的所有域被同时检查。
这种行为导致颁发证书时没有为某些域提供适当的CAA列表。
Let’s Encrypt 发现一个漏洞在我们的CAA代码。 我们的CA软件Boulder在验证用户对域名的控制的同时,检查CAA记录。 大多数订阅者在域控制验证之后立即颁发证书,但是我们认为验证有效期为30天。 这意味着,在某些情况下,我们需要在CAA记录发布之前再次检查。 具体来说,我们必须在发布前8小时内检查CAA(根据BRs 3.2.2.8),因此任何在8小时前验证过的域名都需要重新检查。 请阅读Let s Encrypt发布的公告。
“Bug: 当证书请求包含N个域名需要CAA重新检查时,Boulder会选择一个域名并对其进行N次检查。 实际上,这意味着如果订户在X时刻验证了一个域名,并且CAA在X时刻对该域名进行了记录,则允许我们进行加密发行,该订户将能够颁发包含该域名的证书,直到X + 30 天,即使后来有人在该域名上安装了禁止通过Let's Encrypt发行的CAA记录,”
Let’s Encrypt撤销了3048,289个证书,约1.16亿个证书(2.6%)处于活动状态。 该组织在2020-02-29 03:08 UTC确认了这个bug,两分钟后停止了发布。 在几个小时内(世界标准时间5点22分),它修复了问题并重新启用了发行。 据Let s加密公司称,该漏洞可能是在2019-07-25年出现的。
用户可以在 https://checkhost.unboundtest.com/ 上查询该工具来检查其域是否受此错误影响。
关注获取海量教程视频
