CA认证机构根证书过期,给众多知名公司造成不可估量的安全风险
Let 's Encrypt是一家总部位于加州的非营利认证机构,该公司自2015年开始运营以来,已累计为上亿网站颁发了数亿份数字证书,确实在加强互联网的安全性方面提供了便捷服务。但其IdentTrust的DST Root X3根证书在9月30日到期,尽管提前很长时间向客户发出了通知,但仍然有许多公司还是遇到了问题。 Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos,cPanel和AWS等知名公司均可能受到影响。
背景介绍
当它第一次开始颁发证书时,Let 's对自己的ISRG Root X1证书与旧的根证书(IdentTrust的DST Root X3)进行交叉签名加密,以确保其证书将立即受到几乎所有设备的信任。经过多年的运营,Let 's Encrypt的ISRG Root X1证书现在受到了大多数设备的信任,该公司也在一年前就开始通知用户DST Root X3证书将于2021年9月30日到期。
这些证书内置在您的操作系统中,通常在更新操作系统的正常过程中进行更新。这里会导致问题的证书是这个,IdenTrust DST根CA X3。
Let 's Encrypt一直在警告服务提供商和开发人员,他们可能需要采取行动,以防止9月30日之后出现任何中断,但似乎证书的到期仍然给许多人带来了问题。
CA证书过期到底有何风险?
据国内证书认证机构安信证书称,CA证书过期会使其网站用户面临各种形式的基于网络的安全风险。这可能是中间人攻击,数据包嗅探,隐私信息被盗等,发生任何此类情况时,您的网站业务会受到相当大的影响,因为没有人相信一个无法保护客户数据的网站。
除了为安全风险打开闸门之外,它还降低了SEO排名,导致流量损失,数据盗窃和在线声誉损失。而且很多主流浏览器((例如Chrome,Firefox等)会向没有有效CA证书的网站发出安全警告,大大降低了客户体验度。
此外,不更新SSL可能会使您(网站所有者)与现有法律法规冲突。全球的数据安全和隐私法要求网站所有者保护其用户或客户的最大利益。
Let 's Encrypt的根证书过期会影响谁?
英国安全研究人员斯科特·赫尔姆(Scott Helme)是最早关注这一问题的专家。2021年9月20日,赫尔姆撰文预测,“一些东西可能会崩溃”。看来他并不是杞人忧天。
根据Helme的说法,当DST Root X3证书过期时,许多主要组织似乎都遇到了一些问题,包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense,谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos,cPanel, AWS和DigitalOcean。值得注意的是,并非所有这些组织都证实受到了影响,在某些情况下,这些问题似乎与使用第三方服务有关。
赫尔姆说,问题出现后不久,许多公司就恢复了受影响的服务。然而,运行多年没有收到更新的旧操作系统的设备可能会继续遇到问题——如果他们没有收到操作系统更新,他们也没有收到新的证书,比如Let 's Encrypt的ISRG Root X1。
不相信ISRG Root X1的旧设备在访问使用“让我们加密证书”的网站时可能会收到证书警告。
赫尔姆在其文章中批出,如下这些客户端将在 IdenTrust DST Root CA X3 到期后中断。
- OpenSSL <= 1.0.2
- Windows < XP SP3
- macOS < 10.12.1
- iOS < 10(iPhone 5 是可以升级到 iOS 10 的最低型号)
- Android < 7.1.1(但如果提供 ISRG Root X1 交叉签名,则 >= 2.3.6 将工作)
- Mozilla Firefox < 50
- Ubuntu < 16.04
- Debian < 8
- Java 8 < 8u141
- Java 7 < 7u151
- NSS < 3.26
- 亚马逊 FireOS(Silk浏览器)
Let 's Encrypt能做什么?
正如 赫尔姆所说,这个问题的发生并不是因为 Let's Encrypt做过或没有做过什么,而是因为所有的证书最终都会过期,如果设备没有更新,那么他们就不会收到新的替换证书。也就是说,Let's Encrypt并没有在到期日期临近时无所事事,他们一直在努力寻找解决方案。
早在2019年4月, 赫尔姆就写了Let's Encrypt公司施工图过渡到ISRG根证书,当时Let's Encrypt计划从IdenTrust根转移到他们自己的根--ISRG根X1,该根证书将在2035年6月4日到期,这给了用户相当长的时间。问题是,没有多少设备收到必要的更新,包括这个新的ISRG根X1,事实上这个根证书是2015年发布的。如果大量设备没有收到包含这个新根证书的更新,它们就不会信任它。这基本上和现在遇到的IdenTrust根证书过期的问题是一样的,因为客户端设备还没有更新,他们也没有收到新的ISRG根X1。
在根证书过期后不久,Let 's Encrypt报告说看到了比平常更多的证书续期,并指出客户获得证书可能需要更长的时间。由于证书过期而遇到问题的用户已被引导到Let 's Encrypt社区论坛。目前相关问题正在该公司专门开辟的社区中火热讨论中。
