快讯
《刀剑神域:彼岸游境》全攻略汇总
2020-07-17 19:20:00
如虎添翼康宝莱助力广州冲锋
2小时前
准备上市的理想,能讲好自己的故事吗?
5小时前
等比例自由高达将亮相上海金桥国内第二家高达基地也将开业
7小时前
​《妖怪学园Y开心学园生活》主题曲「学園スペーシー」公开
8小时前
《孤岛惊魂6》发售日泄漏PS4可免费升级到PS5版本
8小时前
如何在大厂中突围《最强蜗牛》的末世生存之道
10小时前
PC版《P4G》玩家破50万官方发贺图感谢玩家
10小时前
《DOTA2》TI10敌法身心推出惊现女装敌法师
10小时前
《魔兽世界》半年卡免费获得坐骑和熊猫宝宝
10小时前
《最终幻想14》官微公布5.2版将于7月21日更新
10小时前
外媒曝光《恐龙猎人》奖杯信息游戏或将登录PS4
10小时前
《英雄联盟》S10或只在上海进行S11将仍在中国
10小时前
2020世界人工智能大会云端峰会开幕 多位嘉宾云聚一堂
11小时前
《逆转裁判5/6》监督从Capcom离职曾在卡社工作15年
12小时前
《新世界》再次延期制作团队根据玩家反馈希望添加更多内容
12小时前
《女神异闻录4黄金版》PC玩家数突破50万官方发表贺图庆祝
12小时前
《纸片马力欧折纸国王》树屋直播30分钟实机游玩演示公开
13小时前
CDPR表示《赛博朋克2077》不会在首发时加入XboxGamePass
14小时前
《孤岛危机高清版》NS版本依旧在7月23日发售支持陀螺仪瞄准
15小时前
《修道院:破碎瓷器》进行延期为了更好的体验
15小时前
《对马岛之魂》在PS商城开启预下载容量仅34G
15小时前
SE公布《古墓丽影》合集预计8月27日发售
15小时前
PSN港服泄露《孤岛惊魂6》信息明年2月上市
15小时前
《纸片马力欧:折纸国王》公布最新实机演示
17小时前
《爆丸:ChampionsofVestroia》11.3登陆Switch
17小时前

Let's Encrypt吊销300多万张证书的事件再次提醒我们,您部署的HTTPS安全吗?

2020-03-09 11:21:41 推荐

公益型数字证书颁发机构(CA) Let's Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let's Encrypt 建议用户在3月4日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

img_pic_1583724101_0.png

证书吊销事件起因:CAA验证Bug

CAA是一种 DNS 记录,它允许站点所有者指定允许证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA “降低意外颁发证书的风险”。默认情况下,每个公共 CA 在验证申请者的域名控制权后可以为任何在公共 DNS 中的域名颁发证书。这意味着如果某个CA的验证流程出现错误,所有域名都有可能受到影响。CAA记录为域名持有者提供了降低这类风险的方法。

CA签发证书的时候,会去查询和验证CAA记录,用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期,如果超过8小时需要重新查询和验证。

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let's Encrypt 会强制将其吊销。

安全专家警告说:此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

例如:黑客可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。

用户影响:

1、接到邮件通知的用户需要重新颁发一次证书;

2、用户可以自己检测证书是否需要重新颁发;

3、如果没有正确重新签发证书,将会导致网站无法访问;

免费证书和商业证书的区别

img_pic_1583724101_1.jpg

如何检测证书是否需要重新颁发:建议使用MySSL.com检测工具查看部署的证书是否吊销,如需检测更多HTTPS网站部署异常情况,可通过MySSL企业版进行持续监控。

如何保障HTTPS在应用中的安全

基于此次事件,亚洲诚信作为SSL证书领域的专业服务商,提供以下解决方案:

TrustAsia品牌SSL证书具备RSA/ECC双加密算法支持、最佳兼容性、快速签发、标示官网身份(反钓鱼)等优势,可以帮助用户快速实现HTTPS。

亚洲诚信推出的MySSL企业版,可以管理多个HTTPS站点,对其中指定站点进行持续监控告警,同时还对HTTPS站点进行安全评级,SSL漏洞分布,证书有效期,证书品牌和证书类型进行一站式统一智能管理,确保HTTPS的应用更快更安全。


相关文章

{{news.title}}

{{news.timeFormat}} {{news.author}}

正在加载......