Let 's Encrypt是一家總部位于加州的非營利認(rèn)證機(jī)構(gòu),該公司自2015年開始運營以來,已累計為上億網(wǎng)站頒發(fā)了數(shù)億份數(shù)字證書,確實在加強(qiáng)互聯(lián)網(wǎng)的安全性方面提供了便捷服務(wù)。但其IdentTrust的DST Root X3根證書在9月30日到期,盡管提前很長時間向客戶發(fā)出了通知,但仍然有許多公司還是遇到了問題。Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos,cPanel和AWS等知名公司均可能受到影響。
背景介紹
當(dāng)它第一次開始頒發(fā)證書時,Let 's對自己的ISRG Root X1證書與舊的根證書(IdentTrust的DST Root X3)進(jìn)行交叉簽名加密,以確保其證書將立即受到幾乎所有設(shè)備的信任。經(jīng)過多年的運營,Let 's Encrypt的ISRG Root X1證書現(xiàn)在受到了大多數(shù)設(shè)備的信任,該公司也在一年前就開始通知用戶DST Root X3證書將于2021年9月30日到期。
這些證書內(nèi)置在您的操作系統(tǒng)中,通常在更新操作系統(tǒng)的正常過程中進(jìn)行更新。這里會導(dǎo)致問題的證書是這個,IdenTrust DST根CA X3。
Let 's Encrypt一直在警告服務(wù)提供商和開發(fā)人員,他們可能需要采取行動,以防止9月30日之后出現(xiàn)任何中斷,但似乎證書的到期仍然給許多人帶來了問題。
CA證書過期到底有何風(fēng)險?
據(jù)國內(nèi)證書認(rèn)證機(jī)構(gòu)安信證書稱,CA證書過期會使其網(wǎng)站用戶面臨各種形式的基于網(wǎng)絡(luò)的安全風(fēng)險。這可能是中間人攻擊,數(shù)據(jù)包嗅探,隱私信息被盜等,發(fā)生任何此類情況時,您的網(wǎng)站業(yè)務(wù)會受到相當(dāng)大的影響,因為沒有人相信一個無法保護(hù)客戶數(shù)據(jù)的網(wǎng)站。
除了為安全風(fēng)險打開閘門之外,它還降低了SEO排名,導(dǎo)致流量損失,數(shù)據(jù)盜竊和在線聲譽(yù)損失。而且很多主流瀏覽器((例如Chrome,F(xiàn)irefox等)會向沒有有效CA證書的網(wǎng)站發(fā)出安全警告,大大降低了客戶體驗度。
此外,不更新SSL可能會使您(網(wǎng)站所有者)與現(xiàn)有法律法規(guī)沖突。全球的數(shù)據(jù)安全和隱私法要求網(wǎng)站所有者保護(hù)其用戶或客戶的最大利益。
Let 's Encrypt的根證書過期會影響誰?
英國安全研究人員斯科特·赫爾姆(Scott Helme)是最早關(guān)注這一問題的專家。2021年9月20日,赫爾姆撰文預(yù)測,“一些東西可能會崩潰”。看來他并不是杞人憂天。
根據(jù)Helme的說法,當(dāng)DST Root X3證書過期時,許多主要組織似乎都遇到了一些問題,包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense,谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos,cPanel, AWS和DigitalOcean。值得注意的是,并非所有這些組織都證實受到了影響,在某些情況下,這些問題似乎與使用第三方服務(wù)有關(guān)。
赫爾姆說,問題出現(xiàn)后不久,許多公司就恢復(fù)了受影響的服務(wù)。然而,運行多年沒有收到更新的舊操作系統(tǒng)的設(shè)備可能會繼續(xù)遇到問題——如果他們沒有收到操作系統(tǒng)更新,他們也沒有收到新的證書,比如Let 's Encrypt的ISRG Root X1。
不相信ISRG Root X1的舊設(shè)備在訪問使用“讓我們加密證書”的網(wǎng)站時可能會收到證書警告。
赫爾姆在其文章中批出,如下這些客戶端將在 IdenTrust DST Root CA X3 到期后中斷。
OpenSSL <= 1.0.2
Windows < XP SP3
macOS < 10.12.1
iOS < 10(iPhone 5 是可以升級到 iOS 10 的最低型號)
Android < 7.1.1(但如果提供 ISRG Root X1 交叉簽名,則 >= 2.3.6 將工作)
Mozilla Firefox < 50
Ubuntu < 16.04
Debian < 8
Java 8 < 8u141
Java 7 < 7u151
NSS < 3.26
亞馬遜 FireOS(Silk瀏覽器)
Let 's Encrypt能做什么?
正如赫爾姆所說,這個問題的發(fā)生并不是因為Let's Encrypt做過或沒有做過什么,而是因為所有的證書最終都會過期,如果設(shè)備沒有更新,那么他們就不會收到新的替換證書。也就是說,Let's Encrypt并沒有在到期日期臨近時無所事事,他們一直在努力尋找解決方案。
早在2019年4月,赫爾姆就寫了Let's Encrypt公司施工圖過渡到ISRG根證書,當(dāng)時Let's Encrypt計劃從IdenTrust根轉(zhuǎn)移到他們自己的根--ISRG根X1,該根證書將在2035年6月4日到期,這給了用戶相當(dāng)長的時間。問題是,沒有多少設(shè)備收到必要的更新,包括這個新的ISRG根X1,事實上這個根證書是2015年發(fā)布的。如果大量設(shè)備沒有收到包含這個新根證書的更新,它們就不會信任它。這基本上和現(xiàn)在遇到的IdenTrust根證書過期的問題是一樣的,因為客戶端設(shè)備還沒有更新,他們也沒有收到新的ISRG根X1。
在根證書過期后不久,Let 's Encrypt報告說看到了比平常更多的證書續(xù)期,并指出客戶獲得證書可能需要更長的時間。由于證書過期而遇到問題的用戶已被引導(dǎo)到Let 's Encrypt社區(qū)論壇。目前相關(guān)問題正在該公司專門開辟的社區(qū)中火熱討論中。