Let’s Encrypt 将在两天内撤销约200万份HTTPS 证书
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
非营利性组织 Let’s Encrypt 表示由于发放不当,将在本周五撤销大量证书。
站点可靠性工程师 Jillian Tessa 在 Let’s Encrypt 讨论社区论坛上发布帖子解释称,本周二某第三方在 Boulder(自动化证书管理环境)软件中实现 “TLS Using ALPN” 验证方法(BRs 3.2.2.4.20, RFC 8737)的代码中报告了“两种违规行为”。他指出,“所有在2022年1月26日0048 UTC 时间即部署修复方案之前通过 TLS-ALPN-01 发放和验证的活跃证书都是发放不当的。根据 Let’s Encrypt CP 的要求,我们有5天的时间撤销并将于2022年1月28日1600 UTC时间开始撤销证书。”
Let’s Encrypt 预计称不到1%的活跃证书受影响;但仍然是一个庞大的数字,约为200万份。当前 Let’s Encrypt 发放了约2.21亿活跃证书。
受影响证书持有人将收到关于撤销的邮件通知,届时将需要更新证书。
这并非对 exploit 的缓解。Let’s Encrypt 的一名发言人指出,“TLS-ALPN-01 挑战类型的更新是根据 Baseline Requirements 发放的,它要求使用 TLS 1.2 或更高版本。”
从Let’s Encrypt 获得证书后,按照ACME 标准,将通过展示挑战的方法,尝试验证用户拥有对相关资源的控制。根据客户设置的情况,挑战将使用HTTP、DNS或TLS 开展。该挑战的概念类似于发送邮件验证链接让用户点击完成在线账户设置。
TLS-ALPN-01 挑战适用于那些无法或不愿意使用端口80进行HTTP-01挑战的情况。Let’s Encrypt 指出,“它最适合于想要执行基于主机验证如HTTP-01的TLS终止反向代理作者,他们想完全在 TLS 层完成。”
Let’s Encrypt 的开发者 Aaron Gable 在另外一篇帖子中指出,对影响使用 TLS-ALPN-01的客户端应用的验证代码做出了两个变更。首先,该软件强制使用TLS 1.2 或更高版本进行网络安排。此前该代码允许经由TLS 1.1 的连接,但现在被认为是不安全的。第二,该软件不再支持遗留的OID(对象标识符)1.3.6.1.5.5.7.1.30.1,该对象标识符用于识别 RFC 8737早期版本中的 “acmeIdentifier” 扩展。Let’s Encrypt 软件目前仅支持标准化的 OID 1.3.6.1.5.5.7.1.31。
在已修订软件下,尝试使用 TLS 1.1 或已停用的 OID证书验证将失败;在旧版本下,通过 TLS-ALPN-01 验证的证书未能符合 Let’s Encrypt 策略,因此需要重新发放。
推荐阅读
CA 授权码bug 将导致Let’s Encrypt撤销300万张有效证书
Let’s Encrypt 受所有主流根证书程序的官方信任
Let’s Encrypt将发放免费的HTTPS通配符证书
Let’s Encrypt颁发1.5万个欺诈性PayPal证书
Let's Encrypt正式发布
原文链接
https://www.theregister.com/2022/01/26/lets_encrypt_certificates/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Let’s Encrypt 将在两天内撤销约200万份HTTPS 证书相关推荐
- 使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通 文章目录 使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通 一.libreswan 简介 - > ...
- Python两个内置函数——locals 和globals
python作用域 http://tgstdj.blog.163.com/blog/static/748200402012419114428813/ 有两种类型的作用域--类的变量和对象的变量. 类的 ...
- 将近一半的用户希望能够在两秒内或者更短的时间内打开网站
据Akamai 及 Gomez.com调查,将近一半的用户希望能够在两秒内或者更短的时间内打开网站,如果页面未能在三秒内完成载入他们就会放弃浏览.79%的网购访客会因为网站太慢而不会回头购物,44%会 ...
- 项目经理怎么在两周内熟悉一个项目的业务?
项目经理空降到一个进行中的项目,怎么在两周内熟悉一个项目的业务? 四步帮你解决:明确项目业务目标,了解系统功能模块,弄清系统核心业务流程,多使用系统. 一.明确项目业务目标 明确项目业务目标,也就是了 ...
- 我是如何在两天内做完一个网站的
有点标题党的嫌疑,不过确实网站的主体是在两天内的完成的,后面只是抓取了素材和完善细节.以下内容绝对是赤裸裸的干货. 网站前期的准备 1.买域名 2.租服务器 3.编写网站代码 总体就这三步,但是每一点 ...
- python 两个内置函数——locals 和globals(名字空间)批量以自定义变量名创建对象
文章目录 locals 和globals(名字空间)简介 1.局部变量函数locals例子(locals 返回一个名字/值对的字典) 批量创建对象 示例1 示例2 函数内 类内 2.全局变量函数glo ...
- 17、mybatis两个内置参数
不只是方法传递过来的参数可以被用来判断,取值. mybatis默认还有两个内置参数, _parameter:代表整个参数 单个参数:_parameter就是这个参数 多个参数:参数会被封装为一个map ...
- html两个盒子怎么左右对其,关于html:在同一行上左右对齐两个内联块
如何对齐两个内联块,以便一个在左边,另一个在同一行? 为什么这么难? 是否有类似LaTeX的 hfill这样的东西可以占用它们之间的空间来实现这一目标? 我不想使用浮点数,因为有了内联块,我可以将基线 ...
- 用python内置函数算复杂度吗_Python减少代码量的两个内置函数
Python减少代码量的两个内置函数 前言 Python中内置了几个非常好用的函数. 当你掌握了这几个函数的用法后,有些场景下,不用自己去实现多余的冗余代码编写,只需要调用这些函数,便能很简短的帮你实 ...
最新文章
- 第十、十一周项目三-警察和厨师(2)
- [75] Making arrangements
- NS 802.11函数分析(一)
- pcap文件提取后的dataframe,切分前向流与后向流
- c语言程序与设计第三版-苏小红--第一轮学习笔记、难点整理
- MySQL 5.7 解压版 安装教程(图文详细)[Windows](转载)
- Sequelize Unknown column 'createdAt' in 'field list'?
- 视频分割修整功哪一款视频剪辑软件更好用?
- 视频: 视频码率、分辨率、帧率、视频大小等
- GitLab合并出现 “Ready to be merged automatically” 提示
- IOS开发之制作静态库
- C语言程序设计教程(第三版)课后习题6.1
- PCI GXL学习之再造篇
- ​互联网的厕所,兵家的必争之地
- 使用MATLAB的EEGLAB和BCT工具箱画脑网络连接图
- php图文排版样式模版,20款简约样式,多种类型文章的通用模板!
- html mailto 乱码,outlook会议乱码
- 模拟电路笔记(照片)
- c语言实现二分查找法
- 胡新宇之逝:论坛网友回复其女友之感言(转贴)
热门文章
- redis介绍、主从配置
- Eclipse javax.servlet.jsp.PageContext cannot be resolved to a type 错误解决办法
- 《UNIX/Linux网络日志分析与流量监控》实验环境下载
- 欢迎转载中国网站排名
- 重磅!谷歌Fuchsia操作系统将支持运行Linux应用程序
- 服务注册中心,Eureka与Zookeeper比较
- C++ 著名程序库 概览
- 【引】Version Control System - SVN - Developing and Deploying with Branches
- 菜鸟学做——三层交换综合模拟实验【1】
- 数学建模(7)---建模开始