前段时间,公益型数字证书颁发机构 Let's Encrypt宣布,于世界标准时间3月4日起撤销3,048,289张有效SSL/TLS 证书。

起因是2 月底的时候,该机构在 CAA 代码中发现了一个 bug;

这个bug导致多域证书中的一个域被验证多次CAA,而不是证书中的所有域都被验证一次CAA,这意味着,在某些域没有被验证的情况下,颁发了证书;

安全专家警告说,此次漏洞可能为恶意攻击者打开控制网站上TLS证书的门,从而使黑客能够窃听网络流量并收集敏感数据。

为避免业务中断,Let's Encrypt建议客户在 3 月 4 日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。

免费证书更易引发安全风险

作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL/TLS证书(服务器证书)来认证网站身份,和进行HTTPS流量加密,避免“钓鱼”网站和信息泄露的危害。

目前,SSL证书按照安全等级分为最低安全级别DV(域名型)、其次OV(组织型)和最高安全级别EV(增强型)三种;Let's Encrypt提供的是最低安全级别的免费DV(域名型)SSL证书,且证书有效期为90天;

免费SSL证书适用于个人用户体验和企业测试,虽然可以在无成本的情况下为客户提供基础安全的服务,但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美,并不适合商业用户。

所以,建议用户最好选择付费的SSL证书。

什么是SSL证书?

SSL证书也称为服务器SSL证书,遵守SSL协议,由全球信任的证书颁发机构(CA)验证服务器身份后颁发;将SSL证书安装在网站服务器上,可实现网站身份验证和数据加密传输双重功能;

可在客户端(浏览器)和服务器端(网站)建立一条加密通道,保证数据在传输过程中不被窃取或篡改,过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。

还在浏览器显示醒目安全锁,点击安全锁,可查看网站认证的详细信息,用户可以放心的进行操作和交易。

企业服务平台GeoTrust Rapid SSL(单域名)适合个人使用,是能够快速签发的网站,域名验证的简易型证书,能够对传输的数据进行加密;域名型证书不会对证书的所有者(个人或机构)进行身份验证。

GeoTrust Rapid SSL(单域名)具有以下特点:

申请只需10分钟

价值10万美元的安全担保

40/56/128/256 位自适应加密

全球最广泛的浏览器支持

全球市场占有率最高的数字证书