几天前,Let's Encrypt 发现他们误解了 RFC 5280,从而使他们颁发的每个证书的有效期都比预期的长一秒。
Mozilla bug tracker 上的相关问题确实看起来很严重,有些人建议撤销所有当前的 Let's Encrypt 证书(约 1.83 亿)。
但是,我看不到任何与此相关的切实安全问题。是否有任何影响,或者他们只是遵循标准程序,无论影响如何?
Let's Encrypt 证书生命周期事件:是否存在安全风险?
信息安全
证书吊销
让我们加密
2021-09-04 16:47:43
1个回答
他们打开的相关任务解释了为什么他们不打算吊销证书,并提供以下不这样做的原因:
- “我们不认为撤销已作为我们响应的一部分颁发的证书会使 Web PKI 受益。”
- 由于 LE 证书为 90 天,因此 90 天 + 1 秒远低于最大允许寿命。
- 他们声称 Chrome 和 NSS 将他们的证书视为 90 天,而不是 90 天 + 1 秒
- “……尚不清楚……这是否构成误发”
第 2 项和第 3 项声明代表了没有明显安全影响的技术原因。因此,为了回答您的问题,我认为那些要求撤销的人——根据对该问题的评论的随意审查,似乎是少数人——是出于法律条文的观点这样做的。法律条文说,错发要求撤销,但法律精神说,可以考虑问题的严重性。
如果它有助于法律条文,那么请考虑 LE 有计划更换坏证书 - 超过90 天。
其它你可能感兴趣的问题