阿里云優惠券 先領券再下單

由于域名驗證和證書簽發軟件中的一個錯誤，Let's Encrypt將吊銷近300萬張證書。日前，Let's Encrypt已經向受影響的客戶發郵件告知，以便其及時地更新。

由于事發突然，Let’s encrypt僅對有聯系方式的用戶進行了郵件通知，且從通知到吊銷留給用戶的更新時間不足24小時，此舉可能意味著數百萬依賴這些證書來保護敏感數據流的網站和機器身份可能會被識別為不安全或不可用，造成直接的經濟損失。

據悉，這批證書的吊銷時間為世界標準時（UTC）3 月 4 日 00:00 整。

證書吊銷事件緣由

2 月底的時候，Let's Encrypt發現其證書頒發軟件中的漏洞導致某些證書不能通過證書頒發機構授權（CAA）正確驗證。

CAA是一項安全功能，允許域管理員創建DNS記錄，該記錄使得網站所有者，僅授權指定CA機構為自己的域名頒發證書，以防止HTTPS證書錯誤簽發。并且，當局必須在頒發證書不超過8小時前，檢查CAA記錄。

Let’s Encrypt的CA軟件——Boulder中的漏洞導致多域證書上的一個域被多次檢查，而不是證書上的所有域都被一次檢查。這意味著，在某些域沒有被驗證的情況下，頒發了證書。

那么，假設一個訂閱者驗證了一個域名，并且該域名被允許加密發布，即使某些域名是不符合Let’s Encrypt的CAA記錄，該訂閱者也能夠正常發布包含該域名的證書，直到30天后。

從3月4日起，Let’s Encrypt將加密撤銷高達3048289個當前有效的證書，占其約1.16億有效證書總數的2.6％。

天威誠信是中國唯一一家由DigiCert/Symantec直接授權且由中國工信部批準的CA認證機構，專業從事數字證書等技術和產品服務20年，可提供多個產品選擇及解決方案，擁有豐富應對和解決各種復雜及突發情況的專業服務支持團隊，提供全天候7*24小時服務、一對一技術指導，可以為受影響的用戶提供及時的幫助支持，快速完成SSL證書替換部署，減少您因為此次突發事件所產生的經濟損失。

目前，SSL證書按照安全等級分為最低安全級別 DV（域名型）、其次 OV（組織型）和最高安全級別 EV（增強型）三種。

從此次事件來看，免費DV SSL證書缺失了網站身份認證功能，雖然降低了部署成本，但也成為了釣魚網站、惡意網站用于仿冒合法網站的工具。

近幾年頻發的免費SSL證書安全事件足以表明DV 型證書僅僅適合于個人用戶體驗和非商業網站測試使用，天威誠信建議商用站點選擇 OV 型或者更高安全級別的 EV 型證書。同時建議企業用戶通過專業SSL證書提供商申請OV和EV SSL證書，畢竟專業的服務團隊和技術支持團隊才能更好地保證網站的持續性穩定，解決SSL證書配置更新的后顧之憂。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！