Nhà cung cấp Let's Encrypt thu hồi 3 triệu chứng thư số TLS cấp sai do lỗi

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 06/03/20, 09:03 AM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 266
    Đã được thích: 93
    Điểm thành tích:
    28
    Trong ngày 4/3, Let's Encrypt, một trong những nhà cung cấp chứng thư số miễn phí phổ biến nhất đã thu hồi hơn 3 triệu chứng thư TLS có thể đã bị cấp sai do lỗi trong phần mềm Certificate Authority.
    Anh 1.PNG

    Lỗ hổng được chính Let’s Encrypt xác nhận vào ngày 29/2 và vá chỉ sau hai giờ phát hiện. Lỗ hổng ảnh hưởng đến cách thức Let’s Encrypt kiểm tra quyền sở hữu tên miền trước khi cấp chứng thư TLS mới.

    Do đó, một kịch bản có thể xảy ra là chứng thư có thể được cấp ngay cả khi chưa xác nhận đầy đủ quyền sở hữu đối với một tên miền.

    Chính sách bảo mật internet CAA cho phép cấp chứng thư số cho một tên miền cụ thể từ cơ quan cấp chứng thư số (CA).

    Let's Encrypt xem xét kết quả xác thực tên miền hợp lệ trong 30 ngày kể từ thời điểm xác thực, sau đó sẽ kiểm tra lại hồ sơ CAA cấp tên miền đó trước khi cấp chứng thư. Lỗi tồn tại trong mã cho Boulder, một phần mềm ký chứng thư mà Let’s Encrypt sử dụng.

    Công ty cho biết lỗi tồn tại từ bản cập nhật vào tháng 7/2019.

    Có khoảng 1 tỷ chứng thư số TLS miễn phí đã được cấp từ dự án Let's Encrypt kể từ khi dự án được triển khai trong năm 2015.
    Anh 2.PNG
    Let's Encrypt cho biết 2,6% trong khoảng 116 triệu chứng thư số đang hoạt động bị ảnh hưởng.

    Chủ sở hữu trang web bị ảnh hưởng trong ngày 4/3 phải tự gia hạn và thay thế chứng thư.

    Điều cần lưu ý là các chứng thư số do Let's Encrypt cấp có giá trị trong thời gian 90 ngày và các client ACME như Certbot có khả năng tự động gia hạn.

    Nhưng khi Let's Encrypt thu hồi tất cả các chứng thư bị ảnh hưởng, quản trị trang web sẽ phải thực hiện gia hạn bắt buộc để ngăn chặn mọi gián đoạn.

    Let's Encrypt cũng cung cấp một danh sách có thể tải xuống các số sêri bị ảnh hưởng, cho phép người đăng ký kiểm tra trang web của mình có sử dụng chứng thư bị ảnh hưởng hay không.

    Theo The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan