聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
免费开放的证书颁发机构 Let’s Encrypt 在其证书颁发授权 (CAA) 代码中发现了一个 bug,导致其不得不开始撤销300多万张当前有效的 TLS证书。用户表示已提前收到要求在24小时内解决这一问题的通知。
该 bug 影响 Let’s Encrypt 在颁发证书前对域名所有权进行检查的 Boulder 软件。有安全工程师认为该 bug 或导致恶意攻击者控制网站的 TLS 证书,窃听 web 流量并收集敏感数据。Let’s Encrypt 表示该bug 在2019年7月被引入 Boulder 软件中,不过Let’s Encrypt 在2020年2月29日才发现并部署修复方案。
Let’s Encrypt 在描述该bug 时指出,当证书要求中包含N个需要进行 CAA 重新检查的域名时,Boulder 将选择其中一个域名并检查 N次(而不是对每个域名都进行检查)。也就是说在实践中,如果用户在某个时间 (X) 验证了一个域名,而在该时间 (X) 的 CAA 记录可允许 Let’s Encrypt 颁发证书,那么用户将能够在 X+30 天后发布包含该域名的证书,即使有人后来在该域名安装 CAA 记录阻止 Let’s Encrypt 颁发证书也不例外。
目前共发现 3,048,289 个受影响的有效证书,占现有有效证书的 2.6%(约1.16亿张),而其中100万张证书是其它受影响证书的副本(即为相同域名发布)。
Let’s Encrypt 解释称,“该 bug 的运作方式决定了最常见的受影响的证书是经常再次颁发的证书,这就是很多受影响证书重复的原因所在”。
Let’s Encrypt 将从2020年3月4日(东部时间下午3点)开始撤销受影响的证书,并计划在3月5日东部时间10点完成。
Let’s Encrypt 表示正在通过邮件通知受影响用户,同时鼓励用户在撤销时更新并替换受影响证书。另外,Let’s Encrypt 还发布了一款网络工具 (https://checkhost.unboundtest.com/) 帮助用户判断证书易受影响并发布了受影响的***。在某些情况下,受影响证书可能已被替换为未受影响的新版本,也就是说无需再次更新。因此,建议用户在更新证书前首先检查自己是否受影响。
上周,Let’s Encrypt 刚刚发布了其第10亿个安全证书。
推荐阅读
原文链接
https://threatpost.com/lets-encrypt-revoke-millions-tls-certs/153413/
https://www.securityweek.com/bug-forces-lets-encrypt-revoke-3-million-certificates
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~