Let's Encrypt、証明書304万件を失効 - バグ原因で
無料でSSL/TLS証明書を発行する認証局のLet's Encryptは、発行済みである約304万件の証明書の失効処理を実施することを明らかにした。
意図せず証明書が発行されることを防止するため、認証局では発行前にDNSで「CAA(Certification Authority Authorization)レコード」を確認するが、30日以内の発行処理において一定時間経過後、必要となる再チェックの処理をバグによって行っていないことが明らかになったという。
対象となるのは、同団体が発行し、現在利用可能となっている証明書約1億1600万件の約2.6%にあたる304万8289件。このうち約100万件については、同じドメイン名に対する複製分だとしている。
同団体では、失効処理を協定世界時2020年3月4日より開始し、2020年3月5日3時までに失効を完了させるとしており、関係する登録者へメールで連絡を取っている。
(Security NEXT - 2020/03/05 )
ツイート
PR
関連記事
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
権威DNSサーバ「NSD」に複数脆弱性 - 修正版が公開
「Node.js」に12件の脆弱性 - 修正版を公開
「Webmin」に認証バイパスなど複数の脆弱性 - 最新版で修正
米当局、Check Point製UTMやLiteLLMの脆弱性悪用に注意喚起
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用
不正なVPN接続を確立できる「PAN-OS」脆弱性 - 悪用を確認
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開
複数ソフトが改ざん被害、正規ルートで汚染版が流通 - 米当局が注意喚起
「Argo CD」に深刻な脆弱性 - トークンやAPIキー漏洩のおそれ
