手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

Let's Encrypt 发现CAA漏洞后撤销数字证书

[日期:2020-03-05] 来源:Linux公社  作者:醉落红尘 [字体: ]

Let's Encrypt在其证书授权(CAA)代码中发现了一个bug,如果客户不强制更新证书,就必须撤销数百万个证书。

任何未能更新证书的网站将向访问者显示安全警告,直至问题得到纠正。虽然没有提到具体的网站,但涉及多达300万个证书,一些知名网站可能会受到影响。

该错误意味着在检查Let's Encrypt订阅服务器是否具有其所有域的有效安全证书时存在问题。在发现bug后仅仅两个小时,就推出了一个修复程序,但是需要更新证书才能产生任何效果。

Let’s Encrypt

Let's Encrypt发布了一个关于bug发现的安全警告:

在2020-02-29 UTC,让我们加密在我们的CAA代码中发现一个错误。我们的CA软件Boulder在验证用户对域名的控制的同时,检查CAA记录。大多数订阅者在域控制验证之后立即颁发证书,但是我们认为验证有效期为30天。这意味着,在某些情况下,我们需要在CAA记录发布之前再次检查。具体来说,我们必须在发布前8小时内检查CAA(根据BRs§3.2.2.8),因此任何在8小时前验证有效的域名都需要重新检查。

缺陷::当证书请求包含N个域名需要CAA重新检查时,Boulder会选择一个域名并对其进行N次检查。实际上,这意味着如果订户在X时刻验证了一个域名,并且CAA在X时刻对该域名进行了记录,则允许我们进行加密发行,该订户将能够颁发包含该域名的证书,直到X + 30天,即使后来有人在该域名上安装了禁止通过Let's Encrypt发行的CAA记录。

我们在2020-02-29 03:08 UTC确认了这个bug,并在03:10停止了发布。我们在世界标准时间05:22部署了修复程序,然后重新启用了发布功能。

我们的初步调查显示该错误于2019-07-25年引入。我们将进行更详细的调查,并在完成后提供事后分析。

另一篇文章中,Let's Encrypt共享受影响序列号的详细信息,并为任何人提供一个到主机名检查实用工具的链接,以检查他们的域是否可能被攻击。。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-03/162509.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款