知名憑證發行商Let's Encrypt於3/4(三)宣布,由於他們使用的CA驗證軟體Boulder出現BUG,預計將撤銷約300萬張已發行至市面上的SSL憑證,此舉被國外網友調侃:「Let's Encrypt應該改名為Let's Revoke!」。
依照正常流程,當用戶向Let's Encrypt申請SSL憑證時,Boulder會驗證用戶是否擁有該域名的使用權,並檢查該域名的CAA紀錄(Certificate Authority Authorization)是否已指定Let's Encrypt作為憑證發行商,隨後在憑證正式發行之前,Boulder會再一次檢查域名的CAA紀錄。
但Let's Encrypt發現,若用戶申請的憑證類型為「多域名(Multi Domain)憑證」,Boulder僅會挑選其中一筆域名來再次驗證CAA紀錄,也造成即使其它域名未在紀錄中指定Let's Encrypt為憑證發行商,仍可能取得該張憑證。
舉例來說,假設某用戶申請的多域名憑證中包含了6筆不同域名,但Boulder僅隨機挑選其中一筆來檢查CAA紀錄,其它5筆則未檢查,但憑證發行後,效力是包含所有域名的,而這明顯違反了現今的資安規定。
Let's Encrypt表示將透過Email通知受到影響的用戶們並開始進行憑證撤銷,也分享了一個工具讓用戶檢測自己的網站是否使用了有問題的憑證。
[本文智慧財產權為網路中文所有,如欲轉載,請事先取得授權同意,謝謝]
[本文如有侵害智慧財產權之情事,請與網路中文聯繫]