當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

Let's Encrypt證書吊銷事件再次提醒我們,您部署的HTTPS安全嗎?

 2020-03-09 12:00  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

公益型數(shù)字證書頒發(fā)機構(CA) Let's Encrypt 不久前宣布,于(世界標準時間UTC)3月4日起撤銷3,048,289 張有效SSL/TLS 證書,并向受影響的客戶發(fā)郵件告知,以便其及時更新。為避免用戶業(yè)務中斷,Let's Encrypt 建議用戶在3月4日前更換受影響的證書,否則網(wǎng)站訪客會看到一個與證書失效有關的安全警告。

證書吊銷事件起因 CAA 驗證 Bug

CAA是一種 DNS 記錄,它允許站點所有者指定允許證書頒發(fā)機構(CA)頒發(fā)包含其域名的證書。該記錄在 2013 年由 RFC 6844 標準化,以允許 CA “降低意外頒發(fā)證書的風險”。默認情況下,每個公共 CA 在驗證申請者的域名控制權后可以為任何在公共 DNS 中的域名頒發(fā)證書。這意味著如果某個CA的驗證流程出現(xiàn)錯誤,所有域名都有可能受到影響。CAA記錄為域名持有者提供了降低這類風險的方法。

CA簽發(fā)證書的時候,會去查詢和驗證CAA記錄,用以確認自己是否有資格為該域名頒發(fā)證書。這個查詢驗證結果按照規(guī)范只有8小時的有效期,如果超過8小時需要重新查詢和驗證。

2月底的時候,Let’s Encrypt發(fā)現(xiàn)其證書頒發(fā)機構(CA)中的軟件(稱為Boulder)存在CAA驗證漏洞。 Boulder中的漏洞導致多域證書中的一個域被驗證多次CAA,而不是證書中的所有域都被驗證一次CAA。這意味著,該漏洞造成部分證書在簽發(fā)前沒有按照規(guī)范去驗證CAA。因此,對于這批證書 Let's Encrypt 會強制將其吊銷。

安全專家警告說: 此次漏洞可能為惡意攻擊者打開控制網(wǎng)站上TLS證書的門,從而使黑客能夠竊聽網(wǎng)絡流量并收集敏感數(shù)據(jù)。

例如: 黑客可以通過 DNS劫持簽發(fā)domain.com的 DV證書,并且順利的利用瀏覽器安全提示,從而實現(xiàn)釣魚網(wǎng)站,竊取用戶的賬號,密碼等重要信息資料。

影響:

1、接到郵件通知的用戶需要重新頒發(fā)一次證書;

2、用戶可以自己檢測證書是否需要重新頒發(fā);

3、如果沒有正確重新簽發(fā)證書,將會導致網(wǎng)站無法訪問;

免費證書和商業(yè)證書的區(qū)別

如何 檢測證書 是否需要重新 頒發(fā) 建議使用MySSL.com檢測工具查看部署的證書是否吊銷,如需檢測更多HTTPS網(wǎng)站部署異常情況,可通過MySSL 業(yè) 進行持續(xù)監(jiān)控。

如何保障HTTPS 在應用中的安全

基于此次事件,亞洲誠信作為SSL證書領域的專業(yè)服務商,提供以下解決方案:

T rustAsia品牌SSL證書具備RSA/ECC雙加密算法支持、最佳兼容性、快速簽發(fā)、標示官網(wǎng)身份(反釣魚)等優(yōu)勢,可以幫助用戶快速實現(xiàn)HTTPS。

亞洲誠信推出的My SSL 企業(yè)版,可以管理多個H TTPS 站點,對其中指定站點進行持續(xù)監(jiān)控告警,同時還對H TTPS 站點進行安全評級,S SL 漏洞分布,證書有效期,證書品牌和證書類型進行一站式統(tǒng)一智能管理, 確保HTTPS的應用更快更安全。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦