自4月3日下午开始Let’s Encrypt证书签发和续期遭遇不可抗力故障。不论用户是新申请证书还是对已有证书进行续期均受影响,当然通过自动化程序进行续签也会因此无法续期成功。正常情况下续期都会提前进行因此暂时部分即将到期的证书还可以使用,但如果接下来无法恢复则访问会受影响。
为此提醒各位使用Let’s Encrypt的网站管理员,请尽快检查你的证书有效期若即将到期请立即执行续期。若无法正常续期请立即安排更换其他渠道提供的证书作为过渡,以免在证书到期后影响网站或后端服务正常连接。
为什么出现无法签发和续期问题:
数字证书通常会使用 OCSP即在线证书状态协议验证证书是否有效,该协议被广泛应用于各种环境中的证书验证。Let’s Encrypt 在签发或续期证书时同样会检测域名证书有效性,通常只有成功进行校验后才可签发或续期证书。
注:续期证书本质上也是签发证书,因为旧证书到期后进行续期实际上就是向颁发机构申请新证书并替代旧证书。Let’s Encrypt OCSP 调用的域名在国内部分地区出现请求异常现象,并非所有地区都会请求异常。当用户尝试新申请证书或执行自动化程序续期证书时会报错,检查操作日志可以看到 OCSP请求出现超时现象等。
上游服务商部分域名无法正常访问:
Let’s Encrypt 使用美国云计算服务商Akamai提供的加速服务,测试发现Akamai某个特定的地址无法正常访问。当国内用户尝试访问时请返回的IP可能在全球各地但都不是真正的目标IP , 这直接导致 OCSP请求出现超时问题。
经测试对相邻节点进行测试如a770/a772发现可以正确解析到Akamai节点,目前仅发现a771节点出现异常情况。但a771恰恰是Let’s Encrypt OCSP服务的节点,a771无法正确解析到目标IP导致OCSP请求异常无法签发证书。目前经测试此问题影响部分区域的部分线路,但也发现IPv4和IPv6均有异常情况 , 部分区域仅IPv4出现异常情况。
为此提醒各位使用Let’s Encrypt 的网站管理员,请尽快检查你的证书有效期,若即将到期请立即执行续期。若无法正常续期请立即安排更换其他渠道提供的证书作为过渡,以免在证书到期后影响网站或后端服务正常连接。
免费DV SSL证书极易引发安全风险
互联网时代,网络的作用越来越大,作为网站信息安全的一项基础配置,很多网站都选择部署SSL证书作为最基础的网络安全措施,认证网站身份和进行HTTPS流量加密,避免“钓鱼”网站和信息泄露的危害。
SSL证书由数字证书颁发机构(CA)签发,目前,SSL证书按照安全等级分为最低安全级别 DV(域名型)、其次 OV(组织型)和最高安全级别 EV(增强型)三种。
而Let’s Encrypt 提供的是最低安全级别的免费DV(域名型 )SSL 证书,且证书有效期为90天。
免费SSL证书适用于个人用户体验和企业测试,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美。并不适合商业用户。
CA在签发 OV 型和 EV 型证书时,会验证组织身份,经过严格的审核后才会颁发。所以 OV 型和 EV 型证书在实现HTTPS加密协议的同时可以标示网站身份,起到一定的反钓鱼功能,提高访客对网站的信心。
而DV型证书,仅通过系统验证域名控制权,不验证组织身份信息的真实性,申请机构是否经过合法注册则被完全忽视。它能起到基础的HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者组织身份的真实性验证。
所以,对于安全事件频发的免费DV SSL证书仅仅推荐个人用户体验和非商业网站测试使用,商用站点建议选择 OV 型或者更高安全级别的 EV 型证书。
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注数安时代(GDCA)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
