由于CAA代码中存在Bug,免费证书颁发机构Let’s encrypt决定吊销300多万张客户证书。由于事发突然,Let’s encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,可能造成大量用户无法及时更新证书,出现网站业务中断,造成直接经济损失。
Let’s encrypt名为Boulder的CA软件中出现CAA代码Bug,导致Let’s encrypt在没有遵循规范正确检查CAA记录的情况下签发了大量SSL证书,这批问题证书需要强制吊销并于美国东部时间3月4日晚上9点(约为北京时间3月5日上午10点)开始执行。根据Let’s encrypt官网用户评论显示,很多用户没有及时收到通知,且在短时间内完成证书更新也存在困难。免费证书颁发机构在人员配置、服务响应、技术支持等方面资源有限,受影响的300多万用户可能无法及时得到证书服务和技术支持。
从此次事件来看,对于企业用户而言,在企业网站、业务平台、信息系统等Web站点上部署免费SSL证书,可能并不意味着真正免费。免费SSL证书缺失了网站身份认证功能,虽然降低了部署成本,但也成为钓鱼网站、恶意网站用于仿冒合法网站的工具;而免费SSL证书安全事件爆发及服务响应能力不足等问题,导致用户网站业务中断并使网站处于被劫持、被窃听等安全风险中,由此带来的经济损失远超SSL证书采购成本。因此,沃通CA建议企业用户通过专业SSL证书提供商申请OV和EV SSL证书。OV和EV SSL证书需要完成严格的身份认证,恶意网站或钓鱼网站很难申请使用OV或EV SSL证书;此外,SSL证书产品重在专业服务支持,选择配备专业服务团队和技术支持团队的SSL证书提供商,获得一对一专属客户服务和技术指导,解决SSL证书配置更新等后顾之忧,才能让SSL证书产品发挥其应有作用,保障网站安全可信并持续稳定运行。
