CA認證機構根證書過期，給眾多知名公司造成不可估量的安全風險

Let 's Encrypt是一家總部位于加州的非營利認證機構，該公司自2015年開始運營以來，已累計為上億網站頒發了數億份數字證書，確實在加強互聯網的安全性方面提供了便捷服務。但其IdentTrust的DST Root X3根證書在9月30日到期，盡管提前很長時間向客戶發出了通知，但仍然有許多公司還是遇到了問題。 Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos，cPanel和AWS等知名公司均可能受到影響。

背景介紹

當它第一次開始頒發證書時，Let 's對自己的ISRG Root X1證書與舊的根證書(IdentTrust的DST Root X3)進行交叉簽名加密，以確保其證書將立即受到幾乎所有設備的信任。經過多年的運營，Let 's Encrypt的ISRG Root X1證書現在受到了大多數設備的信任，該公司也在一年前就開始通知用戶DST Root X3證書將于2021年9月30日到期。

   這些證書內置在您的操作系統中，通常在更新操作系統的正常過程中進行更新。這里會導致問題的證書是這個，IdenTrust DST根CA X3。

Let 's Encrypt一直在警告服務提供商和開發人員，他們可能需要采取行動，以防止9月30日之后出現任何中斷，但似乎證書的到期仍然給許多人帶來了問題。

CA證書過期到底有何風險？

據國內證書認證機構安信證書稱，CA證書過期會使其網站用戶面臨各種形式的基于網絡的安全風險。這可能是中間人攻擊，數據包嗅探，隱私信息被盜等，發生任何此類情況時，您的網站業務會受到相當大的影響，因為沒有人相信一個無法保護客戶數據的網站。

除了為安全風險打開閘門之外，它還降低了SEO排名，導致流量損失，數據盜竊和在線聲譽損失。而且很多主流瀏覽器（（例如Chrome，Firefox等）會向沒有有效CA證書的網站發出安全警告，大大降低了客戶體驗度。

此外，不更新SSL可能會使您（網站所有者）與現有法律法規沖突。全球的數據安全和隱私法要求網站所有者保護其用戶或客戶的最大利益。

Let 's Encrypt的根證書過期會影響誰？

英國安全研究人員斯科特·赫爾姆(Scott Helme)是最早關注這一問題的專家。2021年9月20日，赫爾姆撰文預測，“一些東西可能會崩潰”。看來他并不是杞人憂天。

根據Helme的說法，當DST Root X3證書過期時，許多主要組織似乎都遇到了一些問題，包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense，谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos，cPanel, AWS和DigitalOcean。值得注意的是，并非所有這些組織都證實受到了影響，在某些情況下，這些問題似乎與使用第三方服務有關。

赫爾姆說，問題出現后不久，許多公司就恢復了受影響的服務。然而，運行多年沒有收到更新的舊操作系統的設備可能會繼續遇到問題——如果他們沒有收到操作系統更新，他們也沒有收到新的證書，比如Let 's Encrypt的ISRG Root X1。

不相信ISRG Root X1的舊設備在訪問使用“讓我們加密證書”的網站時可能會收到證書警告。

赫爾姆在其文章中批出，如下這些客戶端將在 IdenTrust DST Root CA X3 到期后中斷。

• OpenSSL <= 1.0.2
• Windows < XP SP3
• macOS < 10.12.1
• iOS < 10（iPhone 5 是可以升級到 iOS 10 的最低型號）
• Android < 7.1.1（但如果提供 ISRG Root X1 交叉簽名，則 >= 2.3.6 將工作）
• Mozilla Firefox < 50
• Ubuntu < 16.04
• Debian < 8
• Java 8 < 8u141
• Java 7 < 7u151
• NSS < 3.26
• 亞馬遜 FireOS（Silk瀏覽器）

Let 's Encrypt能做什么?

正如 赫爾姆所說，這個問題的發生并不是因為 Let's Encrypt做過或沒有做過什么，而是因為所有的證書最終都會過期，如果設備沒有更新，那么他們就不會收到新的替換證書。也就是說，Let's Encrypt并沒有在到期日期臨近時無所事事，他們一直在努力尋找解決方案。

早在2019年4月， 赫爾姆就寫了Let's Encrypt公司施工圖過渡到ISRG根證書，當時Let's Encrypt計劃從IdenTrust根轉移到他們自己的根--ISRG根X1，該根證書將在2035年6月4日到期，這給了用戶相當長的時間。問題是，沒有多少設備收到必要的更新，包括這個新的ISRG根X1，事實上這個根證書是2015年發布的。如果大量設備沒有收到包含這個新根證書的更新，它們就不會信任它。這基本上和現在遇到的IdenTrust根證書過期的問題是一樣的，因為客戶端設備還沒有更新，他們也沒有收到新的ISRG根X1。

在根證書過期后不久，Let 's Encrypt報告說看到了比平常更多的證書續期，并指出客戶獲得證書可能需要更長的時間。由于證書過期而遇到問題的用戶已被引導到Let 's Encrypt社區論壇。目前相關問題正在該公司專門開辟的社區中火熱討論中。