數百萬網站在加密故障後面臨風險

Let’s Encrypt 項目宣佈,在其證書頒發機構授權(CAA)代碼中發現 Bug 後,它將吊銷 300 多萬個 TLS 證書。

數百萬網站在加密故障後面臨風險

圖片來源:Pexels

該 Bug 會影響 Let’s Encrypt 使用的服務器軟件 Boulder,該軟件允許項目在頒發TLS證書之前驗證用戶及其域。Let’s Encrypt 已經決定撤銷 TLS 證書,因為 Boulder 內部 CAA 規范的實施受到該錯誤的影響。

CAA 是一項安全標準,早在 2017 年就獲得批準。它允許域所有者防止頒發 TLS 證書的組織(稱為證書頒發機構(CA))為其域頒發證書。

通過將“CAA字段”添加到域的 DNS 記錄中,域所有者可以使其僅在 CAA 字段中列出的 CA 有能力為其域頒發 TLS 證書。像 Let’s Encrypt 這樣的證書頒發機構必須嚴格遵守 CAA 規范,否則可能會面臨瀏覽器制造商的處罰。

撤銷 TLS 證書

在意識到這個問題後,Let’s Encrypt 的加密工程師 Jacob Hoffman-Andrews 在論壇帖子中披露瞭 Boulder 中的錯誤導致服務器軟件忽略 CAA 檢查的事實,他提到

缺陷:當一個證書申請包含 N 個需要 CAA 重新檢查的域名時,Boulder 會選擇一個域名並檢查 N 次。實際上,這意味著如果訂戶在 X 時刻驗證瞭一個域名,並且 CAA 在 X 時刻對該域名進行瞭記錄,則允許我們進行加密發行,該訂戶將能夠頒發包含該域名的證書,直到 X+30 天,即使後來有人在該域名上安裝瞭禁止通過 Let’s Encrypt 發行的 CAA 記錄。

Let’s Encrypt 項目在周末迅速修復瞭該錯誤,並且 Boulder 現在能夠在頒發任何新證書之前正確驗證 CAA 字段。值得慶幸的是,根據該項目,有人利用該漏洞的可能性很小。

截至今天,Let’s Encrypt 項目已經撤銷瞭所有沒有經過適當 CAA 檢查就發出的證書。現在,所有受影響的證書都將在瀏覽器中觸發安全錯誤,直到域所有者請求新的 TLS 證書替換舊的 TLS 證書為止。

Published in News by Awesome.

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *