今天(3月4日)起，由于域驗證和發(fā)布軟件中的一個錯誤，Let’s Encrypt將吊銷近300萬個證書。日前，Let’s Encrypt已經(jīng)向受影響的客戶發(fā)郵件告知，以便其及時地更新。

發(fā)送給受影響用戶的電子郵件

2 月底的時候，Let’s Encrypt發(fā)現(xiàn)其證書頒發(fā)機構(gòu)(CA)中的軟件漏洞導(dǎo)致某些證書不能通過為關(guān)聯(lián)域配置的證書頒發(fā)機構(gòu)授權(quán)(CAA)正確驗證。

漏洞

CAA是一項安全功能，允許域管理員創(chuàng)建DNS記錄，該記錄使得網(wǎng)站所有者，僅授權(quán)指定CA機構(gòu)為自己的域名頒發(fā)證書，以防止HTTPS證書錯誤簽發(fā)。并且，當(dāng)局必須在頒發(fā)證書不超過8小時前，檢查CAA記錄。

Let’s Encrypt的CA軟件——Boulder中的漏洞導(dǎo)致多域證書上的一個域被多次檢查，而不是證書上的所有域都被一次檢查。這意味著，在某些域沒有被驗證的情況下，頒發(fā)了證書。

那么，假設(shè)一個訂閱者驗證了一個域名，并且該域名被允許加密發(fā)布，即使某些域名是不符合Let’s Encrypt的CAA記錄，該訂閱者也能夠正常發(fā)布包含該域名的證書，直到30天后。

因此，為了避免業(yè)務(wù)中斷，從今天起，Let’s Encrypt將加密撤銷高達3048289個當(dāng)前有效的證書，占其約1.16億有效證書總數(shù)的2.6%。

建議相關(guān)用戶盡快更換受影響的證書，否則網(wǎng)站訪客會看到一個與證書失效有關(guān)的安全警告。

如果需要檢查域名是否受此漏洞影響并且需要更新，可以在https://checkhost.unboundtest.com/上了解。輸入域名后，頁面就會顯示該域名是否受到影響。