前段時間,公益型數字證書頒發(fā)機構 Let's Encrypt宣布,于世界標準時間3月4日起撤銷3,048,289張有效SSL/TLS 證書。
起因是2 月底的時候,該機構在 CAA 代碼中發(fā)現了一個 bug;
這個bug導致多域證書中的一個域被驗證多次CAA,而不是證書中的所有域都被驗證一次CAA,這意味著,在某些域沒有被驗證的情況下,頒發(fā)了證書;
安全專家警告說,此次漏洞可能為惡意攻擊者打開控制網站上TLS證書的門,從而使黑客能夠竊聽網絡流量并收集敏感數據。
為避免業(yè)務中斷,Let's Encrypt建議客戶在 3 月 4 日前更換受影響的證書,否則網站訪客會看到一個與證書失效有關的安全警告。
免費證書更易引發(fā)安全風險
作為網站信息安全的一項基礎配置,越來越多的網站需要安裝SSL/TLS證書(服務器證書)來認證網站身份,和進行HTTPS流量加密,避免“釣魚”網站和信息泄露的危害。
目前,SSL證書按照安全等級分為最低安全級別DV(域名型)、其次OV(組織型)和最高安全級別EV(增強型)三種;Let's Encrypt提供的是最低安全級別的免費DV(域名型)SSL證書,且證書有效期為90天;
免費SSL證書適用于個人用戶體驗和企業(yè)測試,雖然可以在無成本的情況下為客戶提供基礎安全的服務,但近年來爆出的安全事件說明,免費SSL證書恐怕只是看起來很美,并不適合商業(yè)用戶。
所以,建議用戶最好選擇付費的SSL證書。
什么是SSL證書?
SSL證書也稱為服務器SSL證書,遵守SSL協議,由全球信任的證書頒發(fā)機構(CA)驗證服務器身份后頒發(fā);將SSL證書安裝在網站服務器上,可實現網站身份驗證和數據加密傳輸雙重功能;
可在客戶端(瀏覽器)和服務器端(網站)建立一條加密通道,保證數據在傳輸過程中不被竊取或篡改,過瀏覽器向用戶展示網站認證信息,讓用戶輕松識別網站真實身份,防止釣魚網站仿冒。
還在瀏覽器顯示醒目安全鎖,點擊安全鎖,可查看網站認證的詳細信息,用戶可以放心的進行操作和交易。
聚名企業(yè)服務平臺GeoTrust Rapid SSL(單域名)適合個人使用,是能夠快速簽發(fā)的網站,域名驗證的簡易型證書,能夠對傳輸的數據進行加密;域名型證書不會對證書的所有者(個人或機構)進行身份驗證。
GeoTrust Rapid SSL(單域名)具有以下特點:
申請只需10分鐘
價值10萬美元的安全擔保
40/56/128/256 位自適應加密
全球最廣泛的瀏覽器支持
全球市場占有率最高的數字證書
現在活動價格低至303元/年,你值得擁有。https://qy.juming.com/ssl