Let's Encrypt 是一个非营利性证书颁发机构,免费提供用于传输层安全(TLS)加密的证书。它是世界上最大的证书颁发机构,已被超过 2.76 亿个网站使用。日前他们宣布,将计划于本周六开始撤销一大批用户的证书,因为这些证书是不符合政策的。
在 Let's Encrypt 社区论坛的一篇文章中,网站可靠性工程师 Jillian Tessa 解释了这个原因:“一个第三方报告了在其自动证书管理环境(ACME)软件 Boulder 中实现「TLS Using ALPN」验证方法的代码中存在「两个不合规」的问题”。
因此在 Let's Encrypt 部署修复程序时,所有在 2022 年 1 月 26 日 UTC 00:48 之前,用 TLS-ALPN-01 质询颁发和验证的有效证书都会被视为是错误颁发的。遵照 Let's Encrypt 证书政策,他们有 5 天的时间来撤销这些证书,并将在 2022 年 1 月 28 日 UTC 16 时(北京时间 1 月 29 日 0 点)开始进行撤销证书的工作。
当你从 Let's Encrypt 获得证书时,根据 ACME 标准,该组织的服务器试图通过提出质询来验证你对相关资源的控制。这个质询可以使用 HTTP、DNS 或 TLS 进行,这取决于客户端设置。它的概念类似于发送电子邮件验证链接,必须点击才能完成在线账户的设置。
Let's Encrypt 将对提出的两个不合规的验证代码做出改动,这两个改动影响了专门使用 TLS-ALPN-01 的客户端应用程序。
更新之后,首先该软件将会强制使用 TLS 1.2 或更高版本进行网络连接。以前的代码允许通过 TLS 1.1 进行连接,而这在现在看来是不安全的。其次,该软件不再支持传统的 OID(对象标识符)1.3.6.1.5.5.7.1.30.1,Let's Encrypt 现在只接受标准化的 OID 1.3.6.1.5.5.7.1.31。
根据 Let's Encrypt 的统计,不到 1% 的有效证书会受到影响。考虑到目前 Let's Encrypt 签发的有效证书约有 2.21 亿份,因此从数量上看约有 200 万份证书受到影响,影响规模还是十分巨大的。
受影响的证书持有者将通过电子邮件收到撤销通知,届时将需要重新更新证书。
猜你喜欢: