Let’s Encrypt 300만개의 TLS 인증서 폐지

나도 Let’s Encrypt를 통해 SSL 인증서를 사용하고있기떄문에 영향도가 있을것 같아서 확인해보았다.

대상 여부 확인

https://checkhost.unboundtest.com/

접속 후 호스트네임 입력.

Query 결과

The certificate currently available on blog.dalso.org is OK. It is not one of the certificates affected by the Let’s Encrypt CAA rechecking problem. Its serial number is xxxxxxxxxxxxxxxxxx

blog.dalso.org에서 현재 사용 가능한 인증서는 괜찮다. 이것은 CAA를 암호화하는 재점검 문제의 영향을 받는 인증서 중 하나가 아니다. 일련번호는 xxxxxxxxxxxxxxx

나는 특이사항 없는듯하다.

취약점 상세내용

3월 4일 수요일에 도메인 유효성 확인 및 발급 소프트웨어에 버그가 발생하여 300만 개 이상의 인증서를 취소할 것이다.

Let’s Encrypt의 CA(인증 기관) 소프트웨어의 버그로 인해 연결된 도메인에 대해 구성된 CAA(인증 기관 승인)를 통해 일부 인증서의 유효성이 제대로 확인되지 않았다.

CAA는 도메인 관리자가 특정 도메인에 대한 인증서를 발급할 수 있는 인증서 권한을 제한하는 DNS 레코드를 생성할 수 있도록 하는 보안 기능이다.

Let’s Encrypt will revoke over 3 million certificates on Wednesday, March 4th, due to a bug in their domain validation and issuance software. 

A bug in Let’s Encrypt’s certificate authority (CA) software caused some certificates to not be properly validated through Certificate Authority Authorization (CAA) configured for an associated domain.

CAA is a security feature that allows domain administrators to create a DNS record that restricts the certificate authorities that are allowed to issue certificates for that particular domain.

Let’s Encrypt의 Boulder라고 불리는 CA SW는 다중 도메인 인증서 상의 모든 도메인이 아닌 하나의 도메인에 대해 여러 번의 검사를 진행하도록 합니다. 이는 즉, 일부 도메인에 대해 인증절차를 거치치 않고 인증서가 발급될 수 있다는 것을 의미하며, Savla는이 버그로 인해 악의적인 공격자가 웹 사이트에서 TLS 인증서를 제어 할 수있게되어 해커가 웹 트래픽을 도청하고 민감한 데이터를 수집 할 수 있다고 경고했다.

출처

https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/

 

————————————————–

사이트 리뉴얼중입니다~

서버(Linux, ESXi), NAS(헤놀로지, ESXi 및 IT관련 정보, 기타 등등을 공유하는 커뮤니티 SVRFORUM을 새로 만들었습니다.
많은 가입(?) 부탁드립니다~
https://svrforum.com

이전글들은 모두 상단 메뉴의 Blog 글 모음에있습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

홈서버 IT 커뮤니티 SVRFORUM
Link