阿里云優惠券 先領券再下單

公益型數字證書頒發機構(CA) Let's Encrypt 不久前宣布，于（世界標準時間UTC）3月4日起撤銷3,048,289 張有效SSL/TLS 證書，并向受影響的客戶發郵件告知，以便其及時更新。為避免用戶業務中斷，Let's Encrypt 建議用戶在3月4日前更換受影響的證書，否則網站訪客會看到一個與證書失效有關的安全警告。

證書吊銷事件起因： CAA 驗證 Bug

CAA是一種 DNS 記錄，它允許站點所有者指定允許證書頒發機構（CA）頒發包含其域名的證書。該記錄在 2013 年由 RFC 6844 標準化，以允許 CA “降低意外頒發證書的風險”。默認情況下，每個公共 CA 在驗證申請者的域名控制權后可以為任何在公共 DNS 中的域名頒發證書。這意味著如果某個CA的驗證流程出現錯誤，所有域名都有可能受到影響。CAA記錄為域名持有者提供了降低這類風險的方法。

CA簽發證書的時候，會去查詢和驗證CAA記錄，用以確認自己是否有資格為該域名頒發證書。這個查詢驗證結果按照規范只有8小時的有效期，如果超過8小時需要重新查詢和驗證。

2月底的時候，Let’s Encrypt發現其證書頒發機構（CA）中的軟件（稱為Boulder）存在CAA驗證漏洞。 Boulder中的漏洞導致多域證書中的一個域被驗證多次CAA，而不是證書中的所有域都被驗證一次CAA。這意味著，該漏洞造成部分證書在簽發前沒有按照規范去驗證CAA。因此，對于這批證書 Let's Encrypt 會強制將其吊銷。

安全專家警告說： 此次漏洞可能為惡意攻擊者打開控制網站上TLS證書的門，從而使黑客能夠竊聽網絡流量并收集敏感數據。

例如： 黑客可以通過 DNS劫持簽發domain.com的 DV證書，并且順利的利用瀏覽器安全提示，從而實現釣魚網站，竊取用戶的賬號，密碼等重要信息資料。

用 戶 影響：

1、接到郵件通知的用戶需要重新頒發一次證書；

2、用戶可以自己檢測證書是否需要重新頒發；

3、如果沒有正確重新簽發證書，將會導致網站無法訪問；

免費證書和商業證書的區別

如何 檢測證書 是否需要重新 頒發 ： 建議使用MySSL.com檢測工具查看部署的證書是否吊銷，如需檢測更多HTTPS網站部署異常情況，可通過MySSL 企 業 版 進行持續監控。

如何保障HTTPS 在應用中的安全

基于此次事件，亞洲誠信作為SSL證書領域的專業服務商，提供以下解決方案：

T rustAsia品牌SSL證書具備RSA/ECC雙加密算法支持、最佳兼容性、快速簽發、標示官網身份（反釣魚）等優勢，可以幫助用戶快速實現HTTPS。

亞洲誠信推出的My SSL 企業版，可以管理多個H TTPS 站點,對其中指定站點進行持續監控告警，同時還對H TTPS 站點進行安全評級，S SL 漏洞分布，證書有效期，證書品牌和證書類型進行一站式統一智能管理， 確保HTTPS的應用更快更安全。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！