当前位置:首页 >  科技 >  IT业界 >  正文

Let's Encrypt证书吊销事件再次提醒我们,您部署的HTTPS安全吗?

 2020-03-09 12:00  来源: 互联网   我来投稿   云台的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

公益型数字证书颁发机构(CA) Let's Encrypt 不久前宣布,于(世界标准时间UTC)3月4日起撤销3,048,289 张有效SSL/TLS 证书,并向受影响的客户发邮件告知,以便其及时更新。为避免用户业务中断,Let's Encrypt 建议用户在3月4日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

证书吊销事件起因 CAA 验证 Bug

CAA是一种 DNS 记录,它允许站点所有者指定允许证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA “降低意外颁发证书的风险”。默认情况下,每个公共 CA 在验证申请者的域名控制权后可以为任何在公共 DNS 中的域名颁发证书。这意味着如果某个CA的验证流程出现错误,所有域名都有可能受到影响。CAA记录为域名持有者提供了降低这类风险的方法。

CA签发证书的时候,会去查询和验证CAA记录,用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期,如果超过8小时需要重新查询和验证。

2月底的时候,Let’s Encrypt发现其证书颁发机构(CA)中的软件(称为Boulder)存在CAA验证漏洞。 Boulder中的漏洞导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA。这意味着,该漏洞造成部分证书在签发前没有按照规范去验证CAA。因此,对于这批证书 Let's Encrypt 会强制将其吊销。

安全专家警告说: 此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

例如: 黑客可以通过 DNS劫持签发domain.com的 DV证书,并且顺利的利用浏览器安全提示,从而实现钓鱼网站,窃取用户的账号,密码等重要信息资料。

影响:

1、接到邮件通知的用户需要重新颁发一次证书;

2、用户可以自己检测证书是否需要重新颁发;

3、如果没有正确重新签发证书,将会导致网站无法访问;

免费证书和商业证书的区别

如何 检测证书 是否需要重新 颁发 建议使用MySSL.com检测工具查看部署的证书是否吊销,如需检测更多HTTPS网站部署异常情况,可通过MySSL 进行持续监控。

如何保障HTTPS 在应用中的安全

基于此次事件,亚洲诚信作为SSL证书领域的专业服务商,提供以下解决方案:

T rustAsia品牌SSL证书具备RSA/ECC双加密算法支持、最佳兼容性、快速签发、标示官网身份(反钓鱼)等优势,可以帮助用户快速实现HTTPS。

亚洲诚信推出的My SSL 企业版,可以管理多个H TTPS 站点,对其中指定站点进行持续监控告警,同时还对H TTPS 站点进行安全评级,S SL 漏洞分布,证书有效期,证书品牌和证书类型进行一站式统一智能管理, 确保HTTPS的应用更快更安全。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: 云台    /    文章:12115篇

相关文章

  • HTTPS协议凭什么独得浏览器“恩宠”?

    Firefox的未来版本可能会引入HTTPS-only模式,也就是说全面阻止访问不安全的网站。在最新上线的Firefox76Nightly版本中,Mozilla引入了一项实验性功能,如果一切顺利将会在未来几个月登陆稳定版中,向所有用户开放。

  • TLS 1.0和TLS 1.1的HTTPS 网站是时候说再见了!

    适用于Windows、macOS和GNU/Linux桌面平台的Mozilla本月10日刚刚发布了Firefox74版本更新,目前用户可以访问官方服务器进行下载。现在更新日志虽并未放出,不过可以确认这是首个禁止访问使用TLS1.0和TLS1.1的HTTPS网站的浏览器版本。

    标签:
    https网站
  • HTTPS 原理你搞懂了吗?就给我讲“中间人攻击”

    大家都知道HTTPS比HTTP安全,也听说过与HTTPS协议相关的概念有SSL、非对称加密、CA证书等,但是以上的灵魂三拷问你答的上来吗?怕是回答很大可能是NO!今日天威诚信就带你层层深入,从原理上为你把HTTPS的安全性讲透。

  • 安卓系统默认阻止HTTP流量,尽快为APP升级HTTPS

    自2019年11月1日起,安卓系统要求所有APP都必须默认阻止所有域名的HTTP流量,包括程序更新和所有GooglePlay上的新应用程序,确保通过TLS协议保护进入或离开Android设备的所有网络流量。

  • 从Wireshark抓包看HTTPS的加密功能

    近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。

    标签:
    https网站
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯