Let’s Encrypt 是由 Internet Research Security Group (ISRG) 运营的一个广受欢迎的免费开源证书颁发机构,已向全球网站颁发了超过 10 亿张证书。 虽然没有人否认 Let’s Encrypt 对整个 WEB 采用 HTTPS 所做出的巨大贡献,但不幸的是,Let’s Encrypt 证书也难逃漏洞或被恶意利用的命运。 最近的一次挫折是,300 多万张证书受到一个漏洞的影响,不得不被撤销。
罪魁祸首是每当用户更新 SSL 证书时检查 CCA(证书颁发机构授权)的代码,以确保域名所有者没有对谁可以更新施加任何限制。 结果,由于 Lets Encrypt 的自动检查只扫描一个域而跳过其他域,多个域的所有者都暴露在潜在的网络攻击之下。
Let’s Encrypt 最初宣布 将撤销约三百万份证书 然而,该公司迅速做出了改变,决定让 100 多万个 SSL 证书保持激活状态。 以下是 IRSG 执行主任对此问题的看法:
“遗憾的是,我们认为有 100 多万张证书很可能在合规撤销期限到来之前无法更换。我们认为,为了互联网的健康发展,在截止日期前不撤销这些证书最符合我们的利益,而不是潜在地破坏这么多的网站并引起访问者的担忧。
他继续保证,潜在的未撤销证书将很快过期
.
“Let’s Encrypt 只提供 90 天有效期的证书,因此我们可能不会撤销的潜在受影响证书会相对较快地离开生态系统。我们计划撤销更多证书,因为我们确信这样做不会对网络用户造成不必要的干扰。”
Let’s Encrypt 的漏洞虽然不是一场灾难,但它凸显了免费域名验证证书的弱点,以及高效、可靠的 SSL 证书管理的重要性。 当成百上千的证书处于危险之中时,手动更新它们根本不是办法。 证书颁发机构应确保授权和验证过程值得信赖,而企业则必须投资于可自动颁发和管理 SSL 证书的工具。
