Let's Encrypt因bug撤销300万个TLS凭证
Let's Encrypt发现他们采用的凭证机构软件,在过去半年来误发许多凭证,因此通知使用者要撤销受影响的3百万个TLS/SSL凭证。免费凭证发行机构Let'sEncrypt本周指出,由于该组织所使用的凭证机构软件Boulder含有一bug,误发了许多凭证,使得它们必须撤销已颁发的3百万个TLS/SSL凭证,约占现行1.16亿个凭证数量的2.6%。
当使用者向Let'sEncrypt申请网站凭证之后,Boulder会验证使用者是否拥有该域名的控制权,同时检查凭证颁发机构授权(CertificationAuthority Authorization,CAA),CAA是用来确认使用者的确指定由Let'sEncrypt负责颁发凭证。
这两项检查的有效性存在着时间差,成功验证网域的所有权之后,在30天之内都是有效的,而Boulder要正式颁发凭证之前的8小时,会再重新检查一次CAA。
这意味着倘若使用者在申请凭证并通过Boulder的双重检验之后,没有立即取得凭证,那么Boulder在颁发证书前就会再检查一次CAA。
不过,就在Boulder重新检查CAA时,如果使用者所申请的凭证是支持N个域名的,Boulder并没有检查这N个域名的CAA,而是只选择其中一个域名,然后检查N次。于是就可能出现使用者的某些网域并未授权Let'sEncrypt颁发凭证,但还是取得了来自Let'sEncrypt的凭证。
Let's Encrypt是在今年的2月29日发现该bug,但相信此bug自去年的7月25日就存在了。
于是Let'sEncrypt决定撤销这些受到影响的凭证,目前Let'sEncrypt尚未公布撤销凭证等时间点,但已确定会在世界标准时间(UTC)的3月5日凌晨3点(北京时间3月5日的上午11点),完成撤销作业。
Let's Encrypt已发出邮件通知受到影响的使用者,使用者亦可透过在线工具检查自己的网域是否受到波及。
PS. 上述内容引用自《Let's Encrypt因臭蟲而撤銷300萬個TLS憑證》
回复内容,检查您的主机证书是否受影响,需要更换**** Hidden Message ***** 本帖最后由 cb007 于 2020-3-5 15:51 编辑
怪不得前阵子授权有问题,难道是这个原因?还好,现在又正常了。
查询结果是:unknown: XXX.asuscomm.com: dial tcp xx.xxx.x.xxx:443: i/o timeout
什么意思呢?
cb007 发表于 2020-3-5 15:48
怪不得前阵子授权有问题,难道是这个原因?还好,现在又正常了。
查询结果是:unknown: XXX.asuscomm.com:...
可能就是能正常使用的吧,我查询得到的结果也是这样的。
页:
[1]