从今天(3月4日)开始,由于域验证和发布软件中的错误,Let'sEncrypt将撤销近300万个证书。几天前,Let'sEncrypt已向受影响的客户发送了一封电子邮件,以便他们及时更新。发送给受影响用户的电子邮件2月底,Let'sEncrypt在其证书颁发机构(CA)中发现了一个软件漏洞,该漏洞阻止了为关联域配置的证书颁发机构授权(CAA)正确验证某些证书。漏洞CAA是一项安全功能,它允许域管理员创建DNS记录,允许网站所有者仅授权指定的CA为其自己的域颁发证书,从而防止错误地颁发HTTPS证书。此外,当局必须在颁发证书前不超过8小时检查CAA记录。Let'sEncrypt的CA软件-Boulder中的一个漏洞导致多域证书上的一个域被多次检查,而不是一次检查证书上的所有域。这意味着某些域的证书是在未经验证的情况下颁发的。那么,假设一个订阅者验证了一个域名,并且该域名被允许发布加密,即使某些域名是不符合Let'sEncrypt的CAA记录,订阅者也可以正常发布包含该域名的证书,直到30天之后。因此,为避免业务中断,从今天开始,Let'sEncrypt将以加密方式撤销多达3,048,289个当前有效证书,占其约1.16亿个有效证书总数的2.6%。建议用户尽快更换受影响的证书,否则网站访问者将看到有关无效证书的安全警告。如果需要查看域名是否受此漏洞影响并需要更新,可以通过https://checkhost.unboundtest.com/了解。输入域名后,页面会显示该域名是否受影响。
