公益型數字證書頒發機構(CA) Let's Encrypt 不久前宣佈,於(世界標準時間UTC)3月4日起撤銷3,048,289張有效SSL/TLS 證書,並向受影響的客戶發郵件告知,以便其及時更新。為避免使用者業務中斷,Let's Encrypt 建議使用者在3月4日前更換受影響的證書,否則網站訪客會看到一個與證書失效有關的安全警告。
由於事發的突然性和時區問題,以及因為免費證書導致本身服務能力較弱,Let's Encrypt只給一些公司不到2小時的通知,僅通知到其中極少部分的使用者。
據統計,由於過期證書而導致的意外業務中斷可能造成的損失超過1100萬美元,對於那些不知道自己因無法預計的原因而經歷業務中斷的企業將會造成巨大損失!
Let's Encrypt 在郵件中寫道:很遺憾,這意味著我們需要撤銷受此錯誤影響的一批證書,其中包括您的一個或多個證書。因此造成的不便,我們深表歉意。
如果客戶無法在證書被吊銷(3月4日)前更新,網站訪客將看到安全警告,直到證書再次更新。新證書的續簽流程,可以在 ACME 文件中找到。
證書吊銷事件起因:CAA驗證Bug
CAA是一種 DNS 記錄,它允許站點所有者指定允許證書頒發機構(CA)頒發包含其域名的證書。該記錄在 2013 年由 RFC 6844 標準化,以允許 CA “降低意外頒發證書的風險”。預設情況下,每個公共 CA 在驗證申請者的域名控制權後可以為任何在公共 DNS 中的域名頒發證書。這意味著如果某個CA的驗證流程出現錯誤,所有域名都有可能受到影響。CAA記錄為域名持有者提供了降低這類風險的方法。
CA簽發證書的時候,會去查詢和驗證CAA記錄,用以確認自己是否有資格為該域名頒發證書。這個查詢驗證結果按照規範只有8小時的有效期,如果超過8小時需要重新查詢和驗證。
2月底的時候,Let’s Encrypt發現其證書頒發機構(CA)中的軟體(稱為Boulder)存在CAA驗證漏洞。Boulder中的漏洞導致多域證書中的一個域被驗證多次CAA,而不是證書中的所有域都被驗證一次CAA。這意味著,該漏洞造成部分證書在簽發前沒有按照規範去驗證CAA。因此,對於這批證書 Let's Encrypt 會強制將其吊銷。
安全專家警告說:此次漏洞可能為惡意攻擊者開啟控制網站上TLS證書的門,從而使黑客能夠竊聽網路流量並收集敏感資料。
例如:黑客可以通過 DNS劫持簽發domain.com的 DV證書,並且順利的利用瀏覽器安全提示,從而實現釣魚網站,竊取使用者的賬號,密碼等重要資訊資料。
Bug時間線:
☞ 2019-07-25 的程式碼引入Bug
☞ 2020-02-29 03:08 (UTC)確認該Bug的存在
☞ 2020-02-29 03:10 (UTC)暫停證書籤發
☞ 2020-02-29 05:22 (UTC)修復程式碼
☞ Let's Encrypt計劃在2020-03-05 03:00(UTC)之前完成吊銷證書工作
使用者影響:
1、接到郵件通知的使用者需要重新頒發一次證書;
2、使用者可以自己檢測證書是否需要重新頒發;
3、如果沒有正確重新簽發證書,將會導致網站無法訪問;
如何檢測證書是否需要重新頒發:
建議使用MySSL.com檢測工具檢視部署的證書是否吊銷,如需檢測更多HTTPS網站部署異常情況,可通過MySSL企業版進行持續監控。
安全建議:
網站所有者可依靠證書自動化管理平臺(如:一站式證書智慧管理系統 CertManager),以此避免此類證書吊銷事件引起的網站業務中斷。
免費證書易引發安全風險
作為網站資訊保安的一項基礎配置,越來越多的網站需要安裝SSL/TLS證書(伺服器證書)來認證網站身份和進行HTTPS流量加密,避免“釣魚”網站和資訊洩露的危害。
SSL/TLS證書由數字證書頒發機構(CA)簽發,目前,SSL證書按照安全等級分為最低安全級別 DV(域名型)、其次 OV(組織型)和最高安全級別 EV(增強型)三種。
Let's Encrypt 提供的是最低安全級別的免費DV(域名型 )SSL 證書,且證書有效期為90天。
免費SSL證書適用於個人使用者體驗和企業測試,雖然可以在無成本的情況下為客戶提供基礎安全的服務,但近年來爆出的安全事件說明,免費SSL證書恐怕只是看起來很美。並不適合商業使用者。
CA在簽發 OV 型和 EV 型證書時,會驗證組織身份,經過嚴格的稽核後才會頒發。所以 OV 型和 EV 型證書在實現HTTPS加密協議的同時可以標示網站身份,起到一定的反釣魚功能,提高訪客對網站的信心。
而DV型證書,僅通過系統驗證域名控制權,不驗證組織身份資訊的真實性,申請機構是否經過合法註冊則被完全忽視。它能起到基礎的HTTPS資訊加密的作用,而喪失了SSL證書的另一重要功能,即域名所有者組織身份的真實性驗證。
所以,對於安全事件頻發的免費DV SSL證書僅僅推薦個人使用者體驗和非商業網站測試使用,商用站點建議選擇 OV 型或者更高安全級別的 EV 型證書。