Let's Encrypt 发现 CAA bug，必须撤销部分客户证书

robot

Let's Encrypt 宣布在 CAA（Certification Authority Authorization）代码中发现 bug，它将从美国东部时间 3 月 4 日下午 3 点（北京时间3月5日凌晨4点）开始撤销受到影响的客户证书。

Let's Encrypt 使用的 CA 软件叫 Boulder。一台有多个独立域名的服务器可以通过 Let's Encrypt 签发的一个证书去覆盖所有域名，而不是每个域名一个证书。

但 CAA 中的 bug 导致 Boulder 没有检查每一个域名的有效性而是同一个域名检查 N 次。

Let's Encrypt 可能对 CAA 记录中不有效的域名签发了证书，它决定撤销没有正确检查 CAA 记录的所有证书。

在 Let's Encrypt 签发的 1.16 亿活跃证书中有 3,048,289 个证书受到影响需要替换。

Let's Encrypt 客户如果使用 Certbot 可以输入命令 certbot renew --force-renewal 去更换证书。

你也可用访问这个网址 https://unboundtest.com/caaproblem.html 检查自己使用的证书是否受到影响。

hasamol7468

感谢分享 马上试试

有JJ的男人

The certificate currently available on www.123.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 03914bfa1 这是正常的把