Let’s Encrypt吊销300多万张免费证书!

公益型数字证书颁发机构(CA) Let’s Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let’s Encrypt 建议用户在一日之内更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告

file

由于事发的突然性和时区问题,以及因为免费证书导致本身服务能力较弱,Let’s Encrypt只给一些公司不到2小时的通知,仅通知到其中极少部分的用户

据统计,由于过期证书而导致的意外业务中断可能造成的损失超过1100万美元,对于那些不知道自己因无法预计的原因而经历业务中断的企业将会造成巨大损失!

为什么吊销?

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let’s Encrypt 会强制将其吊销。

安全专家警告说:此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

例如:黑客可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。

解决方案

回顾此次事件,我们不难发现:免费SSL证书的安全性和稳定性较差,而且其证书颁发机构在服务响应、技术支持等方面资源有限,再次证明了使用免费SSL证书对于企业来说存在相当高的安全风险。相比而言,由权威的CA机构颁发的收费SSL证书在安全有效性、稳定性、保障性等方面都有着免费证书不可比拟的优势。

  1. 更换使用权威CA签发的付费SSL证书
  2. 添加CAA记录防止误签发

相关链接:Sectigo/Comodo CA 证书的DNS CAA授权记录怎么做

免费SSL证书适用于个人用户体验和企业测试,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美。并不适合商业用户。

乔客安全咨询保留著作权,发布者:Dream Nick,转载请注明出处:https://www.qiaokr.com/article/11026