Breaking News
AMR | Citrix Webinar: The Next New Normal

Let’s Encrypt เรียกคืน TLS Certificate กว่า 3 ล้านใบ เนื่องจากพบ Bug ในซอฟต์แวร์

Let’s Encrypt ได้ตัดสินใจเรียกคืน TLS Certificate กว่า 3 ล้าน เพราะประสบปัญหา Bug ในซอฟต์แวร์ที่ใช้ตรวจสอบโดเมนและออก Certificate ทำให้ไม่ตรงตามการตั้งค่าใน Certificate Authority Authorization (CAA)

credit: Letsencrypt.org

CAA คือฟีเจอร์ด้านความมั่นคงปลอดภัยเพื่ออนุมัติให้ผู้ดูแลโดเมนสามารถสร้าง DNS Record ตรงกับ Certificate Authority (CA) ซึ่ง Authority จะต้องมีการตรวจสอบ CAA Record อย่างน้อย 8 ชั่วโมงก่อนออก Certificate

credit : www.digicert.com

อย่างไรก็ตามปัญหาของ Bug ที่ชื่อ ‘Boulder’ คือการทำให้มีการตรวจสอบ Multi-domain Certificate ผิดพลาด (เรียกอีกชื่อได้ว่า Subject Alternative Name ชมรูปประกอบด้านบน) ซึ่งมีการเลือกตรวจสอบโดเมนเดียวซ้ำๆ เท่ากับจำนวนโดเมนใน Certificate แทนที่จะตรวจสอบทุกโดเมนทั้งหมด ด้วยเหตุนี้เองทาง Let’s Encrypt จึงขอเรียกคืน Certificate กว่า 2.6% ที่ออกไปแล้ว

สำหรับผู้ใช้งานที่คาดว่าตัวเองอาจจะได้รับผลกระทบ สามารถตรวจสอบตัวเองได้ที่ https://checkhost.unboundtest.com ว่าต้องถูกเรียกคืนหรือไม่ 

ที่มา :  https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NTT แจ้งเหตุ Security Breach

Nippon Telegraph&Telephone (NTT) บริษัทยักษ์ใหญ่ของญี่ปุ่นได้ออกมาเปิดเผยเหตุถูกโจมตี โดยคนร้ายสามารถลอบเข้าไปขโมยข้อมูลของลูกค้า 621 รายของบริษัทในเครือ NTT Communications

GitHub เตือนนักพัฒนา Java พบมัลแวร์พยายามกระจายตัวผ่าน NetBeans IDE

GitHub เตือนนักพัฒนา Java ให้ระมัดระวังการใช้งาน NetBeans IDE เนื่องจากพบมัลแวร์พยายามกระจายตัวผ่าน IDE โดยพบแล้วใน 26 Repositories บน GitHub