| 首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

Let's Encrypt吊销300多万张证书,您部署的HTTPS安全吗?

2020-03-09 16:35 作者:Nameless 来源:硅谷网综合 HV: 编辑:GuiGu 【搜索试试

公益型数字证书颁发机构(CA) Let's Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let's Encrypt 建议用户在3月4日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

 

 

证书吊销事件起因:CAA验证Bug

CAA是一种 DNS 记录,它允许站点所有者指定允许证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA “降低意外颁发证书的风险”。默认情况下,每个公共 CA 在验证申请者的域名控制权后可以为任何在公共 DNS 中的域名颁发证书。这意味着如果某个CA的验证流程出现错误,所有域名都有可能受到影响。CAA记录为域名持有者提供了降低这类风险的方法。

CA签发证书的时候,会去查询和验证CAA记录,用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期,如果超过8小时需要重新查询和验证。

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let's Encrypt 会强制将其吊销。

安全专家警告说:此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

例如:黑客可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。

用户影响:

1、接到邮件通知的用户需要重新颁发一次证书;

2、用户可以自己检测证书是否需要重新颁发;

3、如果没有正确重新签发证书,将会导致网站无法访问;

 

免费证书和商业证书的区别

 

如何检测证书是否需要重新颁发:建议使用MySSL.com检测工具查看部署的证书是否吊销,如需检测更多HTTPS网站部署异常情况,可通过MySSL企业版进行持续监控。

 

如何保障HTTPS在应用中的安全

基于此次事件,亚洲诚信作为SSL证书领域的专业服务商,提供以下解决方案:

TrustAsia品牌SSL证书具备RSA/ECC双加密算法支持、最佳兼容性、快速签发、标示官网身份(反钓鱼)等优势,可以帮助用户快速实现HTTPS。

亚洲诚信推出的MySSL企业版,可以管理多个HTTPS站点,对其中指定站点进行持续监控告警,同时还对HTTPS站点进行安全评级,SSL漏洞分布,证书有效期,证书品牌和证书类型进行一站式统一智能管理,确保HTTPS的应用更快更安全。

【对“Let's Encrypt吊销300多万张证书,您部署的HTTPS安全吗?”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·亚洲诚信联合又拍云 让HTTPS服务更快更安全
·圣诞节网购钓鱼花招多 教你一眼看穿真假https
·天威诚信:Https使用不当,APP也会遭遇安全风险
·如何理解划分更细致的火狐浏览器的HTTPS安全提示
·如何读懂谷歌Chrome浏览器的Https安全提示?
·防止APP数据“裸奔” 金山云CDN HTTPS架构保安全
·领跑云安全 金山云一键开启HTTPS新纪元(图)
·iOS 提高安全“门槛”:HTTPS,该升了吗?
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
智能化和场景化,双重驱动下的华为智能安防
智能化和场景化,双重驱动下的华为智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·疯狂“剁手”双11,支付安全问题还让你心慌慌
·【评论】门户系统引领云安全服务跨入新时代
·宏病毒瞄准医院下手 腾讯电脑管家强力拦杀
·专家视点:互联网+战略催生安防安全新格局
·华途“DLP技术”全方位保障政府网信息安全
广告
硅谷精选
智能化和场景化,双重驱动下的华为智能安防
智能化和场景化,双重驱动下的华为智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数据
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>