1. 首页
2. 新闻资讯
3. 安全资讯
4. 因CA授权错误，Let’s Encrypt将撤销近300万个TLS证书

因CA授权错误，Let’s Encrypt将撤销近300万个TLS证书

发布日期：2020-03-04

由于证书颁发机构授权错误，数百万的传输层安全证书将被吊销。日前，Let’s Encrypt已经向受影响的客户发邮件告知，以便其及时地更新。

Let’s Encrypt表示，由于证书颁发机构授权（CAA）错误，它将撤销300万个传输层安全（TLS）证书。此举可能意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用。

Threatpost联系的证书用户表示，他们已于3月3日收到撤销通知，并给予24小时的时间来解决该问题。证书将于美国东部时间3月4日晚上9:00吊销。

2 月底的时候，Let’s Encrypt发现其证书颁发机构(CA)中的软件漏洞导致某些证书不能通过为关联域配置的证书颁发机构授权(CAA)正确验证。

CAA是一项安全功能，允许域管理员创建DNS记录，该记录使得网站所有者，仅授权指定CA机构为自己的域名颁发证书，以防止HTTPS证书错误签发。并且，当局必须在颁发证书不超过8小时前，检查CAA记录。

Let’s Encrypt的CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查，而不是证书上的所有域都被一次检查。这意味着，在某些域没有被验证的情况下，颁发了证书。

那么，假设一个订阅者验证了一个域名，并且该域名被允许加密发布，即使某些域名是不符合Let’s Encrypt的CAA记录，该订阅者也能够正常发布包含该域名的证书，直到30天后。

因此，为了避免业务中断，从今天起，Let’s Encrypt将加密撤销高达3048289个当前有效的证书，占其约1.16亿有效证书总数的2.6%。

建议相关用户尽快更换受影响的证书，否则网站访客会看到一个与证书失效有关的安全警告。

声明：本网站发布的图片均以转载为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。本站原创内容未经允许不得转载，或转载时需注明出处：GDCA数安时代

标签： 证书吊销

上一篇：美国铁路承包商因被勒索攻击后而导致数据泄露

下一篇：战“疫”阶段数安时代助力企业信息安全

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件