Khoảng 3 Triệu Website Đang Sử Dụng Chứng Chỉ SSL Từ Let’s Encrypt Bị Lỗi

Vào ngày vừa qua 4/3/2020, Let’s Encrypt đưa ra thông báo khoảng 3 triệu chứng chỉ SSL cấp bởi Let’s Encrypt sẽ bị thu hồi do lỗi của một CAA (Certificate Authority Authorization). Chiếm khoảng 2.6% trong tổng số hơn 116 triệu chứng chỉ số SSL cấp bởi Let’s Encrypt hiện đang hoạt động.

Về phía Let’s Encrypt cho biết lỗi này đã tồn tại từ bản cập nhật hồi tháng 7/2019. Và đã được vá vào ngày 29/2 vừa qua. Lỗi lần này liên quan đến cách Let’s Encrypt kiểm tra quyền sở hữu tên miền trước khi cấp chứng thư TLS mới. Do đó một chứng thư vẫn có thể được cấp ngay cả khi bạn chưa xác nhận đầy đủ quyền sở hữu tên miền.

Một kịch bản tất công thực tế sẽ là kẻ tấn công giả mạo một trang website về thanh toán điện tử, bạn sẽ không nhận ra đây là trang website giả mạo bởi vì chứng chỉ SSL hoàn toàn hợp lệ. Nhưng khi bạn cung cấp thông tin ví dụ thông tin đăng nhập, email hoặc thẻ tín dụng, toàn bộ thông tin của bạn sẽ bị đánh cắp.

Hiện nay Let’s Encrypt đã cố gắng liên hệ với tất cả người dùng và tiến hành các hoạt động giải quyết vấn đề này. Đồng thời cũng cung cấp một công cụ để kiểm tra và liệt kê tất cả những serial number để xác định chứng chỉ SSL của bạn đang dùng có bị lỗi hay không:

Nếu bạn đang sử dụng các chứng chỉ số từ Let’s Encrypt, hãy nhanh chóng cập nhật lại chứng chỉ số của mình để đảm bảo giải quyết được vấn đề này. Hoặc để lại thông tin bên dưới để được chúng tôi hỗ trợ.

Posted in Tin Tức and tagged , .