《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > CA認(rèn)證機(jī)構(gòu)根證書過期,,給眾多知名公司造成不可估量的安全風(fēng)險

CA認(rèn)證機(jī)構(gòu)根證書過期,給眾多知名公司造成不可估量的安全風(fēng)險

2021-10-19
來源:網(wǎng)空閑話
關(guān)鍵詞: 根證書 風(fēng)險

  Let 's Encrypt是一家總部位于加州的非營利認(rèn)證機(jī)構(gòu),該公司自2015年開始運(yùn)營以來,,已累計為上億網(wǎng)站頒發(fā)了數(shù)億份數(shù)字證書,確實在加強(qiáng)互聯(lián)網(wǎng)的安全性方面提供了便捷服務(wù),。但其IdentTrust的DST Root X3根證書在9月30日到期,,盡管提前很長時間向客戶發(fā)出了通知,但仍然有許多公司還是遇到了問題,。Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos,,cPanel和AWS等知名公司均可能受到影響。

  背景介紹

  當(dāng)它第一次開始頒發(fā)證書時,,Let 's對自己的ISRG Root X1證書與舊的根證書(IdentTrust的DST Root X3)進(jìn)行交叉簽名加密,,以確保其證書將立即受到幾乎所有設(shè)備的信任。經(jīng)過多年的運(yùn)營,,Let 's Encrypt的ISRG Root X1證書現(xiàn)在受到了大多數(shù)設(shè)備的信任,,該公司也在一年前就開始通知用戶DST Root X3證書將于2021年9月30日到期。

  這些證書內(nèi)置在您的操作系統(tǒng)中,,通常在更新操作系統(tǒng)的正常過程中進(jìn)行更新,。這里會導(dǎo)致問題的證書是這個,IdenTrust DST根CA X3,。

  Let 's Encrypt一直在警告服務(wù)提供商和開發(fā)人員,,他們可能需要采取行動,以防止9月30日之后出現(xiàn)任何中斷,,但似乎證書的到期仍然給許多人帶來了問題,。

  CA證書過期到底有何風(fēng)險

  據(jù)國內(nèi)證書認(rèn)證機(jī)構(gòu)安信證書稱,,CA證書過期會使其網(wǎng)站用戶面臨各種形式的基于網(wǎng)絡(luò)的安全風(fēng)險,。這可能是中間人攻擊,數(shù)據(jù)包嗅探,,隱私信息被盜等,,發(fā)生任何此類情況時,您的網(wǎng)站業(yè)務(wù)會受到相當(dāng)大的影響,因為沒有人相信一個無法保護(hù)客戶數(shù)據(jù)的網(wǎng)站,。

  除了為安全風(fēng)險打開閘門之外,,它還降低了SEO排名,導(dǎo)致流量損失,,數(shù)據(jù)盜竊和在線聲譽(yù)損失,。而且很多主流瀏覽器((例如Chrome,F(xiàn)irefox等)會向沒有有效CA證書的網(wǎng)站發(fā)出安全警告,,大大降低了客戶體驗度,。

  此外,不更新SSL可能會使您(網(wǎng)站所有者)與現(xiàn)有法律法規(guī)沖突,。全球的數(shù)據(jù)安全和隱私法要求網(wǎng)站所有者保護(hù)其用戶或客戶的最大利益,。

  Let 's Encrypt的根證書過期會影響誰?

  英國安全研究人員斯科特·赫爾姆(Scott Helme)是最早關(guān)注這一問題的專家,。2021年9月20日,,赫爾姆撰文預(yù)測,“一些東西可能會崩潰”,??磥硭⒉皇氰饺藨n天。

  根據(jù)Helme的說法,,當(dāng)DST Root X3證書過期時,,許多主要組織似乎都遇到了一些問題,包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense,,谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos,,cPanel, AWS和DigitalOcean。值得注意的是,,并非所有這些組織都證實受到了影響,,在某些情況下,這些問題似乎與使用第三方服務(wù)有關(guān),。

  赫爾姆說,,問題出現(xiàn)后不久,許多公司就恢復(fù)了受影響的服務(wù),。然而,運(yùn)行多年沒有收到更新的舊操作系統(tǒng)的設(shè)備可能會繼續(xù)遇到問題——如果他們沒有收到操作系統(tǒng)更新,,他們也沒有收到新的證書,,比如Let 's Encrypt的ISRG Root X1。

  不相信ISRG Root X1的舊設(shè)備在訪問使用“讓我們加密證書”的網(wǎng)站時可能會收到證書警告,。

  赫爾姆在其文章中批出,,如下這些客戶端將在 IdenTrust DST Root CA X3 到期后中斷。

  OpenSSL <= 1.0.2

  Windows < XP SP3

  macOS < 10.12.1

  iOS < 10(iPhone 5 是可以升級到 iOS 10 的最低型號)

  Android < 7.1.1(但如果提供 ISRG Root X1 交叉簽名,則 >= 2.3.6 將工作)

  Mozilla Firefox < 50

  Ubuntu < 16.04

  Debian < 8

  Java 8 < 8u141

  Java 7 < 7u151

  NSS < 3.26

  亞馬遜 FireOS(Silk瀏覽器)

  Let 's Encrypt能做什么,?

  正如赫爾姆所說,,這個問題的發(fā)生并不是因為Let's Encrypt做過或沒有做過什么,而是因為所有的證書最終都會過期,,如果設(shè)備沒有更新,,那么他們就不會收到新的替換證書。也就是說,,Let's Encrypt并沒有在到期日期臨近時無所事事,,他們一直在努力尋找解決方案。

  早在2019年4月,,赫爾姆就寫了Let's Encrypt公司施工圖過渡到ISRG根證書,,當(dāng)時Let's Encrypt計劃從IdenTrust根轉(zhuǎn)移到他們自己的根--ISRG根X1,該根證書將在2035年6月4日到期,,這給了用戶相當(dāng)長的時間,。問題是,沒有多少設(shè)備收到必要的更新,,包括這個新的ISRG根X1,,事實上這個根證書是2015年發(fā)布的。如果大量設(shè)備沒有收到包含這個新根證書的更新,,它們就不會信任它,。這基本上和現(xiàn)在遇到的IdenTrust根證書過期的問題是一樣的,因為客戶端設(shè)備還沒有更新,,他們也沒有收到新的ISRG根X1,。

  在根證書過期后不久,Let 's Encrypt報告說看到了比平常更多的證書續(xù)期,,并指出客戶獲得證書可能需要更長的時間,。由于證書過期而遇到問題的用戶已被引導(dǎo)到Let 's Encrypt社區(qū)論壇。目前相關(guān)問題正在該公司專門開辟的社區(qū)中火熱討論中,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。