网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

行业资讯团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 新闻资讯 > 行业资讯 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

Let’s Encrypt CA软件漏洞导致证书不能为关联域配置的证书颁发机构授权(CAA)正确验证,近300万个TLS证书将被撤销

文章来源:重庆网络安全 发布时间:2020-03-05 14:45:53 围观次数:
分享到:

摘要:Let’s Encrypt CA软件漏洞导致证书不能为关联域配置的证书颁发机构授权(CAA)正确验证,近300万个TLS证书将被撤销。

  由于域验证和发布软件中的错误,Let’s Encrypt将撤销近300万个证书。最近,Let’s Encrypt已向受影响的客户发送了一封电子邮件通知,以便可以及时进行更新。

blob.png

  2月底,Let’s Encrypt在其证书颁发机构(CA)中发现了软件漏洞,阻止了为相关域配置的证书颁发机构(CAA)对某些证书进行正确的验证。

blob.png

  CAA是一项安全功能,允许域管理员创建DNS记录,该记录使网站所有者可以仅授权指定的CA代理机构为自己的域名颁发证书,以防止HTTPS证书的错误签名。此外,当局必须在签发证书之前不超过8小时检查CAA记录。

  Let’s Encrypt CA软件——Boulder中的漏洞导致多域证书上的一个域被多次检查,而不是一次检查证书上的所有域。这意味着在未验证某些域的情况下颁发了证书。


  然后,假设已经验证了域名,并且允许该域名以加密方式发布。即使某些域名与Let's Encrypt的CAA记录不一致,订阅者通常也可以颁发包含该域名的证书。


  因此,为了避免业务中断,Let’s Encrypt将吊销多达3,048,289个具有加密的当前有效证书,占其1.16亿有效证书总数的2.6%。


  建议相关用户尽快替换受影响的证书,否则网站访问者将看到与证书到期有关的安全警告。


本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:Let’s Encrypt CA软件漏洞 授权正确验证 CAA TLS证书撤销 重庆网络安全

上一篇:企业建站前必须知道的网站费用构成
下一篇:零信任安全模型:永远验证,通过限制数据访问来保护数据

热门资讯

鼠标向下滚动