因爲Bug，Let's Encrypt決定吊銷300多萬張證書！

時間 2020-08-19

標籤因爲 bug let's let encrypt 決定吊銷多萬證書简体版

原文原文鏈接

公益型數字證書頒發機構(CA) Let's Encrypt 不久前宣佈，於（世界標準時間UTC）3月4日起撤銷3,048,289張有效SSL/TLS 證書，並向受影響的客戶發郵件告知，以便其及時更新。爲避免用戶業務中斷，Let's Encrypt 建議用戶在3月4日前更換受影響的證書，不然網站訪客會看到一個與證書失效有關的安全警告。瀏覽器

因爲事發的忽然性和時區問題，以及由於免費證書致使自己服務能力較弱，Let's Encrypt只給一些公司不到2小時的通知，僅通知到其中極少部分的用戶。安全

據統計，因爲過時證書而致使的意外業務中斷可能形成的損失超過1100萬美圓，對於那些不知道本身因沒法預計的緣由而經歷業務中斷的企業將會形成巨大損失！服務器

Let's Encrypt 在郵件中寫道：很遺憾，這意味着咱們須要撤銷受此錯誤影響的一批證書，其中包括您的一個或多個證書。所以形成的不便，咱們深表歉意。網絡

若是客戶沒法在證書被吊銷（3月4日）前更新，網站訪客將看到安全警告，直到證書再次更新。新證書的續簽流程，能夠在 ACME 文檔中找到。dom

證書吊銷事件原由：CAA驗證Bugide

CAA是一種 DNS 記錄，它容許站點全部者指定容許證書頒發機構（CA）頒發包含其域名的證書。該記錄在 2013 年由 RFC 6844 標準化，以容許 CA 「下降意外頒發證書的風險」。默認狀況下，每一個公共 CA 在驗證申請者的域名控制權後能夠爲任何在公共 DNS 中的域名頒發證書。這意味着若是某個CA的驗證流程出現錯誤，全部域名都有可能受到影響。CAA記錄爲域名持有者提供了下降這類風險的方法。工具

CA簽發證書的時候，會去查詢和驗證CAA記錄，用以確認本身是否有資格爲該域名頒發證書。這個查詢驗證結果按照規範只有8小時的有效期，若是超過8小時須要從新查詢和驗證。測試

2月底的時候，Let’s Encrypt發現其證書頒發機構（CA）中的軟件（稱爲Boulder）存在CAA驗證漏洞。Boulder中的漏洞致使多域證書中的一個域被驗證屢次CAA，而不是證書中的全部域都被驗證一次CAA。這意味着，該漏洞形成部分證書在簽發前沒有按照規範去驗證CAA。所以，對於這批證書 Let's Encrypt 會強制將其吊銷。網站

安全專家警告說：這次漏洞可能爲惡意***者打開控制網站上TLS證書的門，從而使***可以竊聽網絡流量並收集敏感數據。加密

例如：***能夠經過 DNS劫持簽發domain.com的 DV證書，而且順利的利用瀏覽器安全提示，從而實現釣魚網站，竊取用戶的帳號，密碼等重要信息資料。

Bug時間線：

☞ 2019-07-25 的代碼引入Bug

☞ 2020-02-29 03:08 （UTC）確認該Bug的存在

☞ 2020-02-29 03:10 （UTC）暫停證書籤發

☞ 2020-02-29 05:22 （UTC）修復代碼

☞ Let's Encrypt計劃在2020-03-05 03:00（UTC）以前完成吊銷證書工做

用戶影響：

一、接到郵件通知的用戶須要從新頒發一次證書；

二、用戶能夠本身檢測證書是否須要從新頒發；

三、若是沒有正確從新簽發證書，將會致使網站沒法訪問；