- A+
尽管已经替换了170万个可能受CAA错误影响的证书,但仍有大约100万个证书处于活动状态。
让我们加密说,它将在撤销吊销之前给其传输层安全(TLS)证书的用户更多的时间来替换100万个仍处于活动状态并可能受到证书颁发机构授权(CAA)错误影响的证书 。
广受欢迎的免费证书颁发机构已在3月4日(星期三)美国东部标准时间之前向用户提供了300万张证书的替换,因为其Boulder软件中的错误(在上周日被发现并修补了)影响了其软件在颁发证书之前检查域所有权的方式。 但是,用户抱怨说这是没有足够的时间解决问题。
Let's Encrypt的用户和主要集成商设法在原始截止日期之前替换了超过170万个受影响的证书; 然而,Let's Encrypt的一位女发言人在周三晚些时候告诉Threatpost称,还剩下100万本应被撤销的邮件,导致该公司重新考虑了其计划。
Let's执行董事Josh Aas表示:“我们决定不要在截止日期之前吊销这些证书,这符合互联网健康的最大利益,而不是破坏那么多站点并引起访客的关注。” Encrypt在一篇博客文章中说,周三更新了用户的情况。
该公司现在的计划是撤消该公司确信已被替换的1,706,505证书,以及“ 445个被我们视为吊销优先级最高的证书,因为在发现该错误时,它们具有禁止由Let's发行的CAA记录。加密,” Aas在帖子中写道。
他写道:“我们计划撤销更多证书,因为我们确信这样做不会对Web用户造成不必要的破坏。”
吊销证书的截止日期让“加密算法”证书的用户在星期三争先恐后评估站点证书是否需要更新,如果需要,则如何在吊销证书之前完成任务。
开源公司Amazee.io的技术客户经理兼CDN集成专家Sean Hamlin表示:“在1分钟内,互联网的某些部分将停止工作…大约2.6%的Lets Encrypt证书将被吊销。”星期三。
后来,当“让我们加密”更改计划时,他在Twitter上再次发表意见。 “看起来让我们加密的公司决定不破坏互联网,”哈姆林写道。
的确,如果吊销了数百万个网站的证书,则那些依赖那些证书来保护敏感数据流的网站和机器身份可能会被标识为不安全或不可用。
但是,一位安全专家周三表示,这种影响可能不像许多“让我们加密”用户担心的那样可怕。 高级证书颁发机构Pratik Savla表示,虽然受影响的证书数量为300万,但受影响的网站或机器身份的实际数量可能会更少,这是因为证书的重新发行方式以及当前可能尚未使用其他证书的事实。 Venafi的工程师。
但是,Savla同意防止该错误是一个好主意,因为它可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听Web流量并收集敏感数据。
对物联网的安全性以及5G如何改变威胁格局感兴趣? 加入我们的免费Threatpost网络研讨会“ 5G,奥林匹克运动和下一代安全挑战” ,我们的小组讨论了2020年预期的用例(奥林匹克运动将是第一个测试),5G安全风险为何不同,作用防御中的AI以及企业如何管理风险。 在这里注册 。
