Let's Encrypt使用的憑證機構軟體Boulder含有一臭蟲,誤發了許多憑證,使得它們必須撤銷發出的3百萬個TLS/SSL憑證,並已通知受到影響的使用者,使用者可透過線上工具檢查自己的網域是否受到波及。

免費憑證發行機構Let's Encrypt本周指出,由於該組織所使用的憑證機構軟體Boulder含有一臭蟲,誤發了許多憑證,使得它們必須撤銷已頒發的3百萬個TLS/SSL憑證,約占現行1.16億個憑證數量的2.6%。

當使用者向Let's Encrypt申請網站憑證之後,Boulder會驗證使用者是否擁有該網域名稱的控制權,同時檢查憑證頒發機構授權(Certification Authority Authorization,CAA),CAA是用來確認使用者的確指定由Let's Encrypt負責頒發憑證。

這兩項檢查的有效性存在著時間差,成功驗證網域的所有權之後,在30天之內都是有效的,而Boulder要正式頒發憑證之前的8小時,會再重新檢查一次CAA。

這意味著倘若使用者在申請憑證並通過Boulder的雙重檢驗之後,沒有立即取得憑證,那麼Boulder在發行憑證前就會再檢查一次CAA。

不過,就在Boulder重新檢查CAA時,如果使用者所申請的憑證是支援N個網域名稱的,Boulder並沒有檢查這N個網域名稱的CAA,而是只選擇其中一個網域名稱,然後檢查N次。於是就可能出現使用者的某些網域並未授權Let's Encrypt頒發憑證,但還是取得了來自Let's Encrypt的憑證。

Let's Encrypt是在今年的2月29日發現該臭蟲,但相信此一臭蟲自去年的7月25日就存在了。

於是Let's Encrypt決定撤銷這些受到影響的憑證,目前Let's Encrypt尚未公布撤銷憑證等時間點,但已確定會在世界標準時間(UTC)的3月5日凌晨3點(台北時間3月5日的上午11點),完成撤銷作業。

Let's Encrypt已發出郵件通知受到影響的使用者,使用者亦可透過線上工具檢查自己的網域是否受到波及。


熱門新聞

Advertisement