公益型数字证书颁发机构(ca) let's encrypt 不久前宣布，于（世界标准时间utc）3月4日起撤销3,048,289 张有效ssl/tls 证书，并向受影响的客户发邮件告知，以便其及时更新。为避免用户业务中断，let's encrypt 建议用户在3月4日前更换受影响的证书，否则网站访客会看到一个与证书失效有关的安全警告。
证书吊销事件起因： caa 验证 bug
caa是一种 dns 记录，它允许站点所有者指定允许证书颁发机构（ca）颁发包含其域名的证书。该记录在 2013 年由 rfc 6844 标准化，以允许 ca “降低意外颁发证书的风险”。默认情况下，每个公共 ca 在验证申请者的域名控制权后可以为任何在公共 dns 中的域名颁发证书。这意味着如果某个ca的验证流程出现错误，所有域名都有可能受到影响。caa记录为域名持有者提供了降低这类风险的方法。
ca签发证书的时候，会去查询和验证caa记录，用以确认自己是否有资格为该域名颁发证书。这个查询验证结果按照规范只有8小时的有效期，如果超过8小时需要重新查询和验证。
2月底的时候，let’s encrypt发现其证书颁发机构（ca）中的软件（称为boulder）存在caa验证漏洞。 boulder中的漏洞导致多域证书中的一个域被验证多次caa，而不是证书中的所有域都被验证一次caa。这意味着，该漏洞造成部分证书在签发前没有按照规范去验证caa。因此，对于这批证书 let's encrypt 会强制将其吊销。
安全专家警告说： 此次漏洞可能为恶意攻击者打开控制网站上tls证书的门，从而使黑客能够窃听网络流量并收集敏感数据。
例如： 黑客可以通过 dns劫持签发domain.com的 dv证书，并且顺利的利用浏览器安全提示，从而实现钓鱼网站，窃取用户的账号，密码等重要信息资料。
用 户 影响：
1、接到邮件通知的用户需要重新颁发一次证书；
2、用户可以自己检测证书是否需要重新颁发；
3、如果没有正确重新签发证书，将会导致网站无法访问；
免费证书和商业证书的区别
如何 检测证书 是否需要重新 颁发 ： 建议使用myssl.com检测工具查看部署的证书是否吊销，如需检测更多https网站部署异常情况，可通过myssl 企 业 版 进行持续监控。
如何保障https 在应用中的安全
基于此次事件，亚洲诚信作为ssl证书领域的专业服务商，提供以下解决方案：
t rustasia品牌ssl证书具备rsa/ecc双加密算法支持、最佳兼容性、快速签发、标示官网身份（反钓鱼）等优势，可以帮助用户快速实现https。
亚洲诚信推出的my ssl 企业版，可以管理多个h ttps 站点,对其中指定站点进行持续监控告警，同时还对h ttps 站点进行安全评级，s sl 漏洞分布，证书有效期，证书品牌和证书类型进行一站式统一智能管理， 确保https的应用更快更安全。

---