尽管事先警告过Let 's Encrypt提供的根证书将在9月30日到期,但用户报告说,一旦该期限到来,各种服务和网站都会出现问题。那么发生了什么?

这个问题

许多知名科技和安全公司注意到,他们的产品和服务受到证书过期的影响,如亚马逊、谷歌和微软的云计算服务,思科的IT和云安全服务,以及无法登录Shopify的卖家。

当用户的浏览器到达您的网站时,它首先检查的事情之一就是SSL证书的有效性。一个SSL证书是一种数字证书,用于验证网站的身份并启用加密连接。SSL证书由CA (Certificate Authority)颁发。大多数浏览器都接受数百个不同的ca颁发的证书。Let 's Encrypt是一个提供数字证书的CA,它是一个免费的非营利机构,数以百万计的网站依赖于Let 's Encrypt服务。

如果证书或签署它的根证书已经过期,它会发出警告,称站点可能不安全或连接不是私有的。至少有200万人因为证书问题在手机、电脑或智能设备上看到了错误信息。

GnuPG

由RFC4880(也称为PGP)定义的OpenPGP标准的GnuPG自由实现。GnuPG允许您对数据和通信进行加密和签名;它具有一个通用的密钥管理系统,以及用于各种公钥目录的访问模块。

GnuPG是一个没有任何图形用户的命令行工具,通常用作其他应用程序的实际加密后端。

虽然很多组织都没有忘记证书过期的问题,但GnuPG并没有很好地处理这个问题。由于许多人甚至不知道他们正在使用GnuPG,因为它是另一个应用程序的后端,所以一些组织花了一段时间才发现并纠正了这个问题。在不知道原因的情况下,这是一个很难确定的问题。对于受影响的公司来说,并不是所有的东西都坏了,但他们肯定有各种服务问题。

更新

新版的GnuPG 2.2.32 (LTS)修复了让我们加密的问题证书链验证,这个更新应该恢复对许多web资源的访问(例如web密钥目录和密钥服务器)。“LTS”是“长期支持”的缩写,该系列GnuPG将至少维持到2024年底。

SSL / TLS证书管理

数字证书是识别和验证人和机器的主要工具。随着公司身份的增加,大规模管理和保护证书的难度也在增加。BYOD和IoT的采用使得证书管理比以往任何时候都更加重要。

和密码和密钥一样,证书也要经历一个循环。它们被创建并供应到基础设施中,并且有一个有限的有效期,在此之后它们就过期了。证书管理通常只关心由相互信任的证书颁发机构颁发的证书。数字证书一旦颁发,必须在其整个有效期内勤勉地管理。

如果这次事件表明了一件事,那就是跟踪组织所依赖的所有数字证书是多么重要。