資訊安全

2020/03/26 14:22:55Kshini

 

知名憑證發行商Let's Encrypt於3/4(三)宣布,由於他們使用的CA驗證軟體Boulder出現BUG,預計將撤銷約300萬張已發行至市面上的SSL憑證,此舉被國外網友調侃:「Let's Encrypt應該改名為Let's Revoke!」。

 

依照正常流程,當用戶向Let's Encrypt申請SSL憑證時,Boulder會驗證用戶是否擁有該域名的使用權,並檢查該域名的CAA紀錄(Certificate Authority Authorization)是否已指定Let's Encrypt作為憑證發行商,隨後在憑證正式發行之前,Boulder會再一次檢查域名的CAA紀錄。

 

但Let's Encrypt發現,若用戶申請的憑證類型為「多域名(Multi Domain)憑證」,Boulder僅會挑選其中一筆域名來再次驗證CAA紀錄,也造成即使其它域名未在紀錄中指定Let's Encrypt為憑證發行商,仍可能取得該張憑證。

 

舉例來說,假設某用戶申請的多域名憑證中包含了6筆不同域名,但Boulder僅隨機挑選其中一筆來檢查CAA紀錄,其它5筆則未檢查,但憑證發行後,效力是包含所有域名的,而這明顯違反了現今的資安規定。

 

Let's Encrypt表示將透過Email通知受到影響的用戶們並開始進行憑證撤銷,也分享了一個工具讓用戶檢測自己的網站是否使用了有問題的憑證。

 

 

頁面