Let's Encrypt是一种免费的，自动化的，开放的证书颁发机构（CA），作为公众的利益而运行，它是来自 互联网安全研究小组（ISRG）。 它提供免费的数字证书，以通过用户友好的方式为网站启用HTTPS（SSL / TLS）。

本周初，Let's Encrypt宣布其验证代码中的错误迫使其吊销了超过3万张证书。 该错误允许订户（在特定情况下和有限的时间内）向域名颁发证书，即使域名持有者明确禁止通过使用DNS CAA颁发证书。

该博客解释了事件的含义。 它提供了有关使用“让我们加密”吊销证书对组织造成的影响的详细信息。 它概述了修复步骤，并提供了指向Qualys CertView的链接，Qualys CertView是一个免费工具，可用于识别用户环境中所有受影响的证书。

更多信息

29年2020月25日，我们加密发现了该漏洞，然后立即中止了新证书的颁发。 该错误已在发现后的几个小时内修复。 进一步的调查显示，自2019年4月2020日以来发行的证书可能没有完整的域控制验证就已发行，这是Let's Encrypt在正常情况下强制执行的。 然后，我们让Encrypt宣布，从3,048,289年5月2020日开始，它将撤销在此期间发行的XNUMX份证书。 它计划在XNUMX年XNUMX月XNUMX日之前撤销所有这些。让我们加密可能已受到电子邮件警报影响的通知组织。 它在其博客和常见问题解答中提供了详细信息。 CA还启用了一个在线工具，可以在其中执行手动检查（请参阅下面的“参考源”）。

影响力故事

仍保留“ Let's Encrypt”证书的组织可能会遇到一系列问题和中断。 网站访问者可能会收到“吊销证书”警告，并决定不进行操作。 通过吊销的证书对与其他系统的连接进行身份验证的自动化系统可能无法连接。 错误的连接和警告将影响可用性，破坏用户的信心，导致停机，并可能造成声誉损失。

访问使用这些吊销证书的网站的用户将遇到以下窗口：

Qualys如何提供帮助

让我们加密用户需要采取的行动。 他们应该首先确定自2019年XNUMX月以来颁发的所有使用中证书。然后，他们需要尽快进行补救和替换。

我们的客户可以使用Qualys CertView获得其环境中所有证书的可见性。 为了查看受影响的证书，可以使用以下查询在仪表板中创建一个新的小部件：

（（issuer.organization：让我们加密）AND（validFrom：[2019-07-25..2020-03-01]））

或者，您可以通过下面的链接下载此小部件，然后将其导入Qualys CertView仪表板。 它会快速向您显示可能受到影响并且可能需要替换的所有“加密”证书。 该小部件还将准确显示（现在）已吊销证书安装在哪些主机和端口上。 这使客户能够直接去那些主机替换证书。

下载 CertView仪表板小部件.

Qualys 证书查看 可作为面向互联网的证书的免费服务。

参考资料