Lổ hổng bảo mật TLS do Let’s Encrypt cấp gây ảnh hưởng cho 3 triệu chứng chỉ SSL

0

Vào Thứ Tư, ngày 4 tháng 3 năm 2020, 3 triệu chứng chỉ Bảo mật Lớp Giao thông (TLS) do Let Encrypt cấp sẽ bị Cơ quan Chứng nhận (CAA) thu hồi do lỗi Ủy quyền. Đây là 2,6% trong số hơn 116 triệu chứng chỉ hoạt động do Let’s Encrypt cấp.

Let’s Encrypt đã liên hệ với tất cả những người nắm giữ chứng chỉ bị ảnh hưởng bởi lỗi này và họ đã tạo ra một công cụ và danh sách các số sê-ri để xác định xem chứng chỉ TLS của bạn có bị ảnh hưởng bởi lỗi hay không.

Let’s Encrypt chưa đặt thời gian chính xác cho việc thu hồi chứng chỉ, tuy nhiên, họ nói rằng khung thời gian sớm nhất sẽ là UTC 00:00.

Một số chủ sở hữu chứng chỉ đã nhận được email mà họ bị ảnh hưởng, nhưng họ có thể đã nhận được thông báo đó một cách sai lầm, vì chứng chỉ đã được cấp trong vài ngày qua sau khi lỗi được khắc phục hoặc do không đáp ứng các tiêu chí thời gian nhất định cần thiết cho lỗi này kích hoạt, thêm vào sự nhầm lẫn.

lổ hổng bảo mật Let’s EncryptLàm thế nào để biết nếu bạn bị ảnh hưởng

Let’s Encrypt đã tạo một công cụ để bạn có thể kiểm tra tên máy chủ của trang web của mình và xác định xem chứng chỉ do Let’s Encrypt cấp của bạn có bị ảnh hưởng bởi lỗi này hay không.

Let’s Encrypt cũng có thể xem danh sách tất cả các số sê-ri bị ảnh hưởng .

Trên hệ thống giống như Linux / BSD, bạn cũng có thể chạy lệnh sau để hiển thị số sê-ri chứng chỉ hiện tại của tên miền. Thay thế example.com bên dưới bằng tên miền của riêng bạn:
openssl s_client -connect example.com:443 -servername example.com -showcerts /dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

Nếu nhà cung cấp dịch vụ lưu trữ của bạn cung cấp chứng chỉ cho trang web của bạn, họ có thể là những người được liên hệ bởi Let’s Encrypt. Nhiều chủ sở hữu trang web đã nhận được thông báo từ các nhà cung cấp dịch vụ lưu trữ rằng họ sẽ xử lý việc cấp lại các chứng chỉ đó.

Nếu bạn đã tạo chứng chỉ Let’s Encrypt của riêng mình, bạn sẽ cần tự cập nhật nếu bạn bị ảnh hưởng.

Điều gì sẽ xảy ra nếu tôi không khắc phục điều này?

chứng chỉ SSL Let's EncryptChứng chỉ TLS an toàn đảm bảo rằng khách truy cập trang web của bạn có lưu lượng được mã hóa giữa các trình duyệt của họ và trang web của bạn. Khách truy cập trang web có thể thấy lỗi bị thu hồi chứng chỉ, cảnh báo không bảo mật và các cảnh báo bảo mật khác trong trình duyệt của họ có thể làm xói mòn niềm tin trong trang web của bạn.

Điều gì đã xảy ra trong thuật ngữ kỹ thuật?

Boulder, nhà xây dựng phần mềm được sử dụng bởi CA của Encrypt, kiểm tra các bản ghi CAA cho một tên miền đồng thời xác minh rằng người yêu cầu chứng chỉ kiểm soát tên miền đó. Hầu hết những người đăng ký dịch vụ đều cấp chứng chỉ ngay sau khi họ xác thực kiểm soát tên miền, tuy nhiên, Hãy mã hóa tin tưởng xác thực trong 30 ngày. Do sự tin tưởng đó, đôi khi họ phải kiểm tra lại hồ sơ CAA lần thứ hai, ngay trước khi cấp giấy chứng nhận. Khung thời gian để kiểm tra lại là 8 giờ, có nghĩa là bất kỳ tên miền nào được xác thực hơn 8 giờ trước đều yêu cầu kiểm tra lại.

Theo Let’s Encrypt :

Lỗi: khi yêu cầu chứng chỉ chứa N tên miền cần kiểm tra lại CAA, Boulder sẽ chọn một tên miền và kiểm tra N lần. Thực tế điều này có nghĩa là nếu một thuê bao xác thực một tên miền tại thời điểm X và CAA ghi lại tên miền đó tại thời điểm X cho phép phát hành Mã hóa, thì thuê bao đó có thể cấp chứng chỉ có chứa tên miền đó cho đến X + 30 ngày, ngay cả khi ai đó sau đó đã cài đặt các bản ghi CAA trên tên miền đó cấm phát hành bởi Let’s Encrypt.

Let’s Encrypt đã xác nhận lỗi vào năm 2020-2-29 03:08 UTC và tạm dừng phát hành hai phút sau đó. Họ đã triển khai một bản sửa lỗi tại 05:22 UTC và kích hoạt lại việc cấp chứng chỉ tại thời điểm đó.

Theo nhà nghiên cứu bảo mật Scott Helme, người đã đăng cuộc điều tra của mình lên Twitter:

As for guidance here, if you have received a notification then you need to renew as soon as you can. Just run whatever process you normally run and make sure you force it to renew. If you’re not sure if you’re affected, renew anyway as a precaution.

Possibly worth noting that while some of these numbers are really large, it represents only ~2.6% of currently active certs that are impacted. Within that ~2.6% there are *significant* numbers of duplicate certs with the exact same CN/SAN list but a different serial number.

Điều này có nghĩa là chúng ta nên sử dụng thứ gì đó ngoài Let’s Encrypt cho chứng chỉ SSL?

Let’s Encrypt đã rất minh bạch về lỗi này, cả trong việc tự xác định vấn đề và báo cáo sự cố CA. Họ đang hành động chính xác làm thế nào một cơ quan cấp chứng chỉ nên hành động. Do đó, chúng tôi tự tin rằng Let’s Encrypt vẫn là một nguồn tốt cho chứng chỉ TLS.

Bạn có thể tìm thấy chi tiết về lỗi trên trình theo dõi lỗi của Let’s Encrypt .

Bạn có thấy lổ hổng này nghiêm trọng và ảnh hưởng tới website bạn đang sử dụng không? Hãy cùng bình luận để chia sẻ ý kiến của mình nhé!

Để lại bình luận

Địa chỉ email của bạn sẽ được chúng tôi bảo mật thông tin.