Let's Encrypt 这个很流行的免费 SSL证书颁发机构周三表示,由于证书颁发机构授权(CAA)错误,它将在周三撤销 300 万个 SSL证书。此举可能意味着数百万依赖这些证书来保护敏感数据流的网站被识别为不安全或不可用。
Threatpost联系的证书用户表示,他们已于周二收到撤销通知,并给予24小时的时间来解决该问题。证书将于美国东部时间3月4日晚上9:00吊销。
“我管理20台服务器上的200个域,直到一天结束为止,” Intuitive Engineering的IT顾问Mark Engelhardt说,“Let's Encrypt 根本无法以较好的方式处理此问题。 。”
Let's Encrypt 在星期二解释说,由于CAA错误影响了其软件在颁发证书之前检查域所有权的方式,它不得不撤销了300万个证书。
更高一级安全工程师Pratik Savla表示,虽然受影响的证书数量为300万,但受影响的网站实际数量可能会更少,这是因为重新颁发证书的方式以及当前可能尚未使用其他证书的事实。在维纳菲。
Savla警告说,该漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。
让我们加密说,初步调查确定该漏洞已于7月引入其Boulder软件中-在过去的星期日已被检测到,并于当天进行了修补。
Let's Encrypt的执行总监Josh Aas在给Threatpost的声明中说:“在功能标记更新期间,我们的代码中引入了一个错误。在某些情况下,此错误使我们跳过了签发证书之前必须执行的检查。我们确定该错误影响了大约300万个有效的证书,约占我们有效证书的2.6%。不幸的是,我们需要吊销这些证书,我们将在《基准要求》规定的合规时间表内这样做。”
Venafi安全策略和威胁情报副总裁Kevin Bocek说,该错误的影响意味着“明天可能有数百万台机器不可用或不受信任,可能对依赖它们的公司造成伤害。”
除了短暂的通知外,Engelhardt表示他还担心的另一个问题是,Let's Encrypt通知使他争先恐后要手动检查200个域,以查看他拥有的哪些证书会受到影响。“我们收到的信息含糊不清,无法帮助您确定具体的证书。”
在接受Aas采访时,他指出,对于许多Let's Encrypt客户而言,解决问题并不困难。例如,MongoDB有15,000个将被吊销的证书。“今天早上,那里的系统管理员使这项工作自动化,并在数小时内完成了工作。”
“这里肯定有一些困难,我们意识到这一点。但是,我们运营的时间表取决于我们。” Aas说。“我们得知事件后有一定的时间做出响应。”
他说,这些要求是CA Browser Forum工作组发布的名为“基线要求”的文档中规定的规则的一部分,该工作组由浏览器制造商和证书颁发机构(包括Let's Encrypt)组成。
在讨论该bug的众多留言板上之一,一个“ Kimbo89”用户创建了一个脚本来自动执行该过程。让我们加密还提供了指向其自己的扫描器的链接,以检查受影响的TLS证书。
让我们用这种方式加密来描述错误:
“错误:当证书请求包含N个域名需要CAA重新检查时,Boulder会选择一个域名并对其进行N次检查。实际上,这意味着,如果订户在X时刻验证了一个域名,并且CAA在X时刻对该域名进行了记录,则允许我们进行加密发行,该订户将能够颁发包含该域名的证书,直到X + 30天,即使后来有人在该域名上安装了禁止通过Let's Encrypt发行的CAA记录。”
(本文是在美国东部标准时间晚上10点3/3更新的,其中包含Let's Encrypt执行总监Josh Aas的评论)
原文:https://threatpost.com/lets-encrypt-revoke-millions-tls-certs/153413/