您的中间证书被强制吊销了吗?

21天前 0人评论 142人浏览

近日,谷歌可信根项目的负责人称:从很多公共证书供应商鉴别到大量中间证书违反了CA/Browser论坛的基本要求,并引发了很大的安全风险。

到底是怎么回事?一起来瞧瞧!

什么是OCSP?

OCSP(Online Certificate Status Protocol在线证书状态协议)是一个请求/响应协议,它是使用来自CA的签名响应来实时通知用户当前证书状态为“有效”或“过期”或“未知”。

通常这些状态是由颁发证书的CA机构响应的。Sectigo及其子品牌就是属于这种情况。例如,“ Sectigo EV RSA CA”的EV证书状态是由该CA的OCSP进行响应。

虽然也确实存在“委托”响应者证书的有效用例,如通过第三方的OCSP响应可以检测不同证书的状态。根据行业基本要求第4.9.9节规定,委托的响应者证书必须包含类型id pkix ocsp nocheck的扩展才会被允许接受证书状态查询请求。

7月2日,谷歌可信任根项目负责人Ryan Sleevi确认了数百个违反了行业基本要求的证书存在着安全风险,原因是受CA授权委托的第三方签名者可能会替CA接收OCSP请求关于查询任意证书的状态,并给出响应。 (例如,Microsoft有权为任意的DigiCert证书签署OCSP响应)。

鉴于证书的技术安全漏洞及网站风险评估,根据CA/Browser论坛的基本要求和Google的公开声明,这些中间证书必须在7个工作日内强制撤销,并且必须有可信的审计员见证密钥销毁,并做好密钥销毁记录,因此这些证书也将无法再次使用。同时,所有由这些中间证书签发的数字证书在浏览器和主流的操作系统组件中都会立即不受信任,唯一的解决方法是将这些数字证书替换为由可信的中间证书签发的新证书。这意味着很多CA机构将会有大量的SSL证书将不能继续使用。

值得一提的是Sectigo及其子品牌的证书均不受此问题影响。然而,某些大型CA签发的证书可能不幸被吊销了。如果您突然遇到根证书不受信任的情况,小编建议您检查一下是否因此问题导致的,如果是,请立即更换证书! 

不论哪种类型的公共证书(包括SSL / TLS证书,代码签名证书,文档签名邮件签名证书)都可能发生这种不信任的情况。您可以点击https://gist.github.com/robstradling/6c737c97a7a3ab843b6f24747fc9ad1f#file-unrevoked_only-tsv查看受影响的CA和中间证书的列表,或是直接联系客服了解您的证书是否受到影响。


提交
还没有评论,快来抢沙发吧!
相关博客

锐成信息,欢迎您的到来

需要更多的了解以上产品和解决方案,请立即联系我们技术支持团队和业务专家,他们将给您带来专业的建议!

售前
支持
代理
合作
售后
支持