나도 Let’s Encrypt를 통해 SSL 인증서를 사용하고있기떄문에 영향도가 있을것 같아서 확인해보았다.
대상 여부 확인
https://checkhost.unboundtest.com/
접속 후 호스트네임 입력.
Query 결과
The certificate currently available on blog.dalso.org is OK. It is not one of the certificates affected by the Let’s Encrypt CAA rechecking problem. Its serial number is xxxxxxxxxxxxxxxxxx
blog.dalso.org에서 현재 사용 가능한 인증서는 괜찮다. 이것은 CAA를 암호화하는 재점검 문제의 영향을 받는 인증서 중 하나가 아니다. 일련번호는 xxxxxxxxxxxxxxx
나는 특이사항 없는듯하다.
취약점 상세내용
3월 4일 수요일에 도메인 유효성 확인 및 발급 소프트웨어에 버그가 발생하여 300만 개 이상의 인증서를 취소할 것이다.
Let’s Encrypt의 CA(인증 기관) 소프트웨어의 버그로 인해 연결된 도메인에 대해 구성된 CAA(인증 기관 승인)를 통해 일부 인증서의 유효성이 제대로 확인되지 않았다.
CAA는 도메인 관리자가 특정 도메인에 대한 인증서를 발급할 수 있는 인증서 권한을 제한하는 DNS 레코드를 생성할 수 있도록 하는 보안 기능이다.
Let’s Encrypt will revoke over 3 million certificates on Wednesday, March 4th, due to a bug in their domain validation and issuance software.
A bug in Let’s Encrypt’s certificate authority (CA) software caused some certificates to not be properly validated through Certificate Authority Authorization (CAA) configured for an associated domain.
CAA is a security feature that allows domain administrators to create a DNS record that restricts the certificate authorities that are allowed to issue certificates for that particular domain.
Let’s Encrypt의 Boulder라고 불리는 CA SW는 다중 도메인 인증서 상의 모든 도메인이 아닌 하나의 도메인에 대해 여러 번의 검사를 진행하도록 합니다. 이는 즉, 일부 도메인에 대해 인증절차를 거치치 않고 인증서가 발급될 수 있다는 것을 의미하며, Savla는이 버그로 인해 악의적인 공격자가 웹 사이트에서 TLS 인증서를 제어 할 수있게되어 해커가 웹 트래픽을 도청하고 민감한 데이터를 수집 할 수 있다고 경고했다.
출처