聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

免费开放的证书颁发机构 Let’s Encrypt 在其证书颁发授权 (CAA) 代码中发现了一个 bug,导致其不得不开始撤销300多万张当前有效的 TLS证书。用户表示已提前收到要求在24小时内解决这一问题的通知。

该 bug 影响 Let’s Encrypt 在颁发证书前对域名所有权进行检查的 Boulder 软件。有安全工程师认为该 bug 或导致恶意攻击者控制网站的 TLS 证书,窃听 web 流量并收集敏感数据。Let’s Encrypt 表示该bug 在2019年7月被引入 Boulder 软件中,不过Let’s Encrypt 在2020年2月29日才发现并部署修复方案。

Let’s Encrypt 在描述该bug 时指出,当证书要求中包含N个需要进行 CAA 重新检查的域名时,Boulder 将选择其中一个域名并检查 N次(而不是对每个域名都进行检查)。也就是说在实践中,如果用户在某个时间 (X) 验证了一个域名,而在该时间 (X) 的 CAA 记录可允许 Let’s Encrypt 颁发证书,那么用户将能够在 X+30 天后发布包含该域名的证书,即使有人后来在该域名安装 CAA 记录阻止 Let’s Encrypt 颁发证书也不例外。

目前共发现 3,048,289 个受影响的有效证书,占现有有效证书的 2.6%(约1.16亿张),而其中100万张证书是其它受影响证书的副本(即为相同域名发布)。

Let’s Encrypt 解释称,“该 bug 的运作方式决定了最常见的受影响的证书是经常再次颁发的证书,这就是很多受影响证书重复的原因所在”。

Let’s Encrypt 将从2020年3月4日(东部时间下午3点)开始撤销受影响的证书,并计划在3月5日东部时间10点完成。

Let’s Encrypt 表示正在通过邮件通知受影响用户,同时鼓励用户在撤销时更新并替换受影响证书。另外,Let’s Encrypt 还发布了一款网络工具 (https://checkhost.unboundtest.com/) 帮助用户判断证书易受影响并发布了受影响的序列号。在某些情况下,受影响证书可能已被替换为未受影响的新版本,也就是说无需再次更新。因此,建议用户在更新证书前首先检查自己是否受影响。

上周,Let’s Encrypt 刚刚发布了其第10亿个安全证书。

推荐阅读

Let's Encrypt正式发布

Let’s Encrypt 受所有主流根证书程序的官方信任

原文链接

https://threatpost.com/lets-encrypt-revoke-millions-tls-certs/153413/

https://www.securityweek.com/bug-forces-lets-encrypt-revoke-3-million-certificates

题图:Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”,bounty 不停~

CA 授权码bug 将导致Let’s Encrypt撤销300万张有效证书相关推荐

  1. QQ邮箱一次性发送多封邮件导致授权码失效535

    之前没发过那么多邮件 这次要发送上百号邮件时,遇到一个问题:一次性发送9封邮件之后的邮件无法发送,因为QQ邮箱的授权码失效了 Mail Error on Auth: 535 Login Fail. P ...

  2. php备份漏洞源码,原创|从 PHP Git 源码的查找导致 PHP 安全漏洞的代码变更

    原标题:原创|从 PHP Git 源码的查找导致 PHP 安全漏洞的代码变更 前言 2020年好,各位 PHPer 们,很久没有写原创文章了,心里实在过意不去,决定写点文字,"从心" ...

  3. IdentityServer4之Authorization Code(授权码)相对更安全

    前言 接着授权模式聊,这次说说Authorization Code(授权码)模式,熟悉的微博接入.微信接入.QQ接入都是这种方式(这里说的是oauth2.0的授权码模式),从用户体验上来看,交互方式和 ...

  4. 腾讯云网站备案授权码是什么及如何使用?

    腾讯云网站备案授权码是什么及如何使用?国内网站备案时都会听到一个名词:备案授权码,大家都是初次备案所以老魏今天分享相关知识和遇到问题如何解决. 1.什么是备案授权码? 备案授权码是由服务器生成的用于备 ...

  5. Oauth2系列2:授权码模式

    目录 传送门 再次重申oauth2的定义 定义 作用 标准授权码流程 4个参与角色 资源拥有者 客户端 授权服务 受保护资源 授权码流程 引导授权 获取code 用授权码code换取令牌token 返 ...

  6. 腾讯企业邮箱:创建邮件授权码

    文章目录 申请官网 绑定 生成密码 PHP脚本发送代码(465端口) Yii框架发送代码(587端口) 申请官网 腾讯企业邮箱 绑定 生成密码 PHP脚本发送代码(465端口) require_onc ...

  7. 集成SpringSecurity和Oauth2的授权码认证

    一.授权码认证流程图 (A)用户访问客户端,后者将前者导向认证服务器. (B)用户选择是否给予客户端授权. (C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI&quo ...

  8. java 发邮件授权码_javamail - androidmail 发送邮件 各种邮件授权方式

    当你用到邮箱这方面的功能,可以参考该篇文章.已经在实际应用使用中. 适应qq邮箱(国内大部分邮箱跟qq相似,如163),hotmail(outlook),国外邮箱gmail等配置,已经能通过代码发送成 ...

  9. 腾讯云备案授权码常见问题及解决方法

    在腾讯云备案需要备案授权码,备案君分享腾讯云备案授权码常见问题及解决方法: 什么是备案授权码? 腾讯云的备案授权码类似于阿里云的备案服务号,备案授权码是由服务器生成的用于备案的授权凭证,实际指向该服务 ...

最新文章

  1. Python面试之 is 和 == 的区别
  2. php ×××号码效验码生成函数
  3. 每个网页设计师应该知道的10条CSS规则
  4. iOS - OC NSSize 尺寸
  5. stringcstdlibctimecstdargctimectypecmathclimits
  6. C#中变量(成员变量、局部变量、全局变量)的作用域
  7. Python中的operator.itemgetter函数
  8. 车险受益人变更需要什么资料?
  9. 程序员 45 岁怎么了?!
  10. 计算机用户界面英文,计算机主板CMOS界面英文翻译(2)
  11. 【Nowcoder - 5670 B Graph】2020 牛客暑期多校训练营(第五场)【最小异或生成树、Boruvka 思想】
  12. php 小写数字转大写,php 小写数字怎么转大写
  13. TraceView 的使用
  14. R语言使用rlnorm函数生成符合对数正态分布的随机数、使用plot函数可视化符合对数正态分布的随机数(logarithmic normal distribution)
  15. Hitting the database(Chapter 5 of Spring In Action)
  16. Python 计算两个连通子图距离_复杂网络分析之python利器NetworkX
  17. 设计模式 - 创建型模式_工厂方法模式
  18. android实现 桌面移动悬浮窗口实现
  19. 20 React项目生成及部署
  20. 【python】录音语音识别

热门文章

  1. oracle 游标的理解
  2. 集合的所有分割方式---2013年1月28日
  3. C 获得程序执行时间
  4. 解析Node.js通过axios实现网络请求
  5. linux中脚本后台执行的方法
  6. 使用高速通道加速iOS版本审核
  7. Linux下的网络协议分析工具-tcpdump快速入门手册
  8. Django---ORM操作大全
  9. Linux Journal 2013点评 Readers' Choice Awards 2013
  10. c# winform窗体边框风格的设计