BLOGTIMES
2020/03/09

Let's Encrypt が不具合のある 300 万件の証明書を失効させる

  letsencrypt  ssl 
このエントリーをはてなブックマークに追加

Let's Encrypt が不具合のある 300 万件の証明書を失効させることになっていたようです。

不具合の内容というのは DNS Certification Authority Authorization (DNS CAA)という DNS によって証明書の発行元を制限できる仕組みが正しく効いていなかった*1というもの。

こんな感じでテストを実施すると、自分に影響するかどうかが確認できます。

$ curl -XPOST -d 'fqdn=blog.cles.jp' https://checkhost.unboundtest.com/checkhost The certificate currently available on blog.cles.jp is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 03edf9fced52dc644320defb6c9fad4a2563

ちゃんと CAA に則って証明書発行を行っていれば特に影響はないようです。

Let's Encryptが証明書300万件を失効処理、ソフトウェアの不具合で - ZDNet Japan

問題になったのは、BoulderのCAA(Certificate Authority Authorization)の実装だ。CAAは2017年に承認されたセキュリティ標準で、ドメイン所有者が、意図しない認証局(CA、TLS証明書を発行する組織)から所有ドメインの証明書が発行されることを防げるようにするためのものだ。 Let's Encryptは、米国時間2月29日にフォーラムに投稿された記事で、Boulderの不具合によってCAAチェックが正常に行われていなかったことを明らかにした。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/11593
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン