安全研究員Scott Helme警告稱:作為全球最大HTTPs證書提供商之一的Let’s Encrypt,即將於下週停用舊版根證書(Root CA)。這意味著數百萬計依賴它的網站必須在9月30日前及時更新,不然將面臨不受計算機、裝置或Web瀏覽器信任的困擾。
(圖自:Scott Helme)
據悉,作為一家非盈利組織,Let’s Encrypt致力於通過頒發證書來推動裝置和網際網路資料通訊的加密,確保不被第三方攔截並竊取資訊。
然而Let’s Encrypt當前使用的IdentTrust DST Root CA X3根證書,也即將於下週過期。對於大部分網站的訪客來說,9 月 30 日可能是個波瀾不驚的一天。
但是對於較舊的裝置來說,可能還是會遇到一些問題 ——正如AddTrust External CA Root在今年 5 月遭遇的根證書過期中斷那樣,造成Stripe、Red Hat和Roku都受到了影響。
Scott Helme 在一篇博文中寫道:“考慮到Let’s Encrypt和AddTrust之間的體量差異,我有預感IdenTrust根證書到期時又會讓歷史重演,甚至可能引發更多的問題”。
當然,潛在易受影響的,主要是那些不怎麼定期更新的裝置 —— 比如嵌入式系統、或執行多年前軟體版本的智慧手機。
(圖自:Let’s Encrypt)
舉個例子,執行macOS 2016和Windows XP SP3的裝置使用者可能在月底之後遇到麻煩。依賴OpenSSL 1.0.2或更早版本的客戶端平臺也可能受到影響,此外還有尚未升級到新版韌體的PlayStation老遊戲機。
鑑於 Android 生態有著長期存在且眾所周知的問題,為了防止大多數智慧機受到本次事件的影響,Let’s Encrypt已於今年早些時候未雨綢繆地過渡到了自家的ISRG Root X1證書(到期時間為2035年)。
雖然包括Android 7.1.1(Nougat)及更早版本的裝置並不信任它,但Let’s Encrypt還是能夠通過對自頒證書進行交叉簽名的方式,讓大多數Android裝置可在未來三年內避免受到波及。
但若你還想在Android 5.0(Lollipop)上安裝Firefox,最好還是儘早為遷移至新平臺做打算。
最後,自2014年成立以來,截止 2021 年 9 月初,Let’s Encrypt總計已經頒發了超過20億份證書。
如果你的網站正在使用Let’s Encrypt提供的免費證書,務必在9月30日之前完成SSL證書更換,可以參考“如何申請免費及配置SSL證書”一文。
評論留言