WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Nhà cung cấp Let's Encrypt thu hồi 3 triệu chứng thư số TLS cấp sai do lỗi
Trong ngày 4/3, Let's Encrypt, một trong những nhà cung cấp chứng thư số miễn phí phổ biến nhất đã thu hồi hơn 3 triệu chứng thư TLS có thể đã bị cấp sai do lỗi trong phần mềm Certificate Authority.
Lỗ hổng được chính Let’s Encrypt xác nhận vào ngày 29/2 và vá chỉ sau hai giờ phát hiện. Lỗ hổng ảnh hưởng đến cách thức Let’s Encrypt kiểm tra quyền sở hữu tên miền trước khi cấp chứng thư TLS mới.
Do đó, một kịch bản có thể xảy ra là chứng thư có thể được cấp ngay cả khi chưa xác nhận đầy đủ quyền sở hữu đối với một tên miền.
Chính sách bảo mật internet CAA cho phép cấp chứng thư số cho một tên miền cụ thể từ cơ quan cấp chứng thư số (CA).
Let's Encrypt xem xét kết quả xác thực tên miền hợp lệ trong 30 ngày kể từ thời điểm xác thực, sau đó sẽ kiểm tra lại hồ sơ CAA cấp tên miền đó trước khi cấp chứng thư. Lỗi tồn tại trong mã cho Boulder, một phần mềm ký chứng thư mà Let’s Encrypt sử dụng.
Công ty cho biết lỗi tồn tại từ bản cập nhật vào tháng 7/2019.
Có khoảng 1 tỷ chứng thư số TLS miễn phí đã được cấp từ dự án Let's Encrypt kể từ khi dự án được triển khai trong năm 2015.
Let's Encrypt cho biết 2,6% trong khoảng 116 triệu chứng thư số đang hoạt động bị ảnh hưởng.
Chủ sở hữu trang web bị ảnh hưởng trong ngày 4/3 phải tự gia hạn và thay thế chứng thư.
Điều cần lưu ý là các chứng thư số do Let's Encrypt cấp có giá trị trong thời gian 90 ngày và các client ACME như Certbot có khả năng tự động gia hạn.
Nhưng khi Let's Encrypt thu hồi tất cả các chứng thư bị ảnh hưởng, quản trị trang web sẽ phải thực hiện gia hạn bắt buộc để ngăn chặn mọi gián đoạn.
Let's Encrypt cũng cung cấp một danh sách có thể tải xuống các số sêri bị ảnh hưởng, cho phép người đăng ký kiểm tra trang web của mình có sử dụng chứng thư bị ảnh hưởng hay không.
Lỗ hổng được chính Let’s Encrypt xác nhận vào ngày 29/2 và vá chỉ sau hai giờ phát hiện. Lỗ hổng ảnh hưởng đến cách thức Let’s Encrypt kiểm tra quyền sở hữu tên miền trước khi cấp chứng thư TLS mới.
Do đó, một kịch bản có thể xảy ra là chứng thư có thể được cấp ngay cả khi chưa xác nhận đầy đủ quyền sở hữu đối với một tên miền.
Chính sách bảo mật internet CAA cho phép cấp chứng thư số cho một tên miền cụ thể từ cơ quan cấp chứng thư số (CA).
Let's Encrypt xem xét kết quả xác thực tên miền hợp lệ trong 30 ngày kể từ thời điểm xác thực, sau đó sẽ kiểm tra lại hồ sơ CAA cấp tên miền đó trước khi cấp chứng thư. Lỗi tồn tại trong mã cho Boulder, một phần mềm ký chứng thư mà Let’s Encrypt sử dụng.
Công ty cho biết lỗi tồn tại từ bản cập nhật vào tháng 7/2019.
Có khoảng 1 tỷ chứng thư số TLS miễn phí đã được cấp từ dự án Let's Encrypt kể từ khi dự án được triển khai trong năm 2015.
Chủ sở hữu trang web bị ảnh hưởng trong ngày 4/3 phải tự gia hạn và thay thế chứng thư.
Điều cần lưu ý là các chứng thư số do Let's Encrypt cấp có giá trị trong thời gian 90 ngày và các client ACME như Certbot có khả năng tự động gia hạn.
Nhưng khi Let's Encrypt thu hồi tất cả các chứng thư bị ảnh hưởng, quản trị trang web sẽ phải thực hiện gia hạn bắt buộc để ngăn chặn mọi gián đoạn.
Let's Encrypt cũng cung cấp một danh sách có thể tải xuống các số sêri bị ảnh hưởng, cho phép người đăng ký kiểm tra trang web của mình có sử dụng chứng thư bị ảnh hưởng hay không.
Theo The Hacker News