Let's encrypt吊销300万张证书,免费SSL证书真的免费吗?

举报
沃通WoTrus 发表于 2020/03/09 15:12:44 2020/03/09
【摘要】 由于CAA代码中存在Bug,免费证书颁发机构Let’s encrypt决定吊销300多万张客户证书。

由于CAA代码中存在Bug,免费证书颁发机构Let’s encrypt决定吊销300多万张客户证书。由于事发突然,Let’s encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,可能造成大量用户无法及时更新证书,出现网站业务中断,造成直接经济损失。

1583737890129189.png


Let’s encrypt名为Boulder的CA软件中出现CAA代码Bug,导致Let’s encrypt在没有遵循规范正确检查CAA记录的情况下签发了大量SSL证书,这批问题证书需要强制吊销并于美国东部时间3月4日晚上9点(约为北京时间3月5日上午10点)开始执行。根据Let’s encrypt官网用户评论显示,很多用户没有及时收到通知,且在短时间内完成证书更新也存在困难。免费证书颁发机构在人员配置、服务响应、技术支持等方面资源有限,受影响的300多万用户可能无法及时得到证书服务和技术支持。沃通CA配备专业客服团队和技术支持团队,提供全天候客户服务、一对一技术指导,以及DV(域名验证型)、OV(企业验证型)、EV(扩展验证型)等全线SSL证书产品,可以为受影响的用户提供及时的帮助支持,快速完成SSL证书替换部署。

1583737911825463.png

从此次事件来看,对于企业用户而言,在企业网站、业务平台、信息系统等Web站点上部署免费SSL证书,可能并不意味着真正免费。免费SSL证书缺失了网站身份认证功能,虽然降低了部署成本,但也成为钓鱼网站、恶意网站用于仿冒合法网站的工具;而免费SSL证书安全事件爆发及服务响应能力不足等问题,导致用户网站业务中断并使网站处于被劫持、被窃听等安全风险中,由此带来的经济损失远超SSL证书采购成本。


因此,沃通CA建议企业用户通过专业SSL证书提供商申请OV和EV SSL证书。OV和EV SSL证书需要完成严格的身份认证,恶意网站或钓鱼网站很难申请使用OV或EV SSL证书;此外,SSL证书产品重在专业服务支持,选择配备专业服务团队和技术支持团队的SSL证书提供商(如:沃通CA),获得一对一专属客户服务和技术指导,解决SSL证书配置更新等后顾之忧,才能让SSL证书产品发挥其应有作用,保障网站安全可信并持续稳定运行。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。