9月30日,我的网站遇到一个很奇怪的问题,当天我在网站发了一篇新文章,之后就有不少用户向我反馈说,文章无法访问,访问时候提示证书错误,我感觉很奇怪,莫非网站SSL证书没有自动更新?我于是用电脑访问了一下网站,发现用电脑浏览器访问网站并没有出现异常。
根据用户的截图,用户是用手机端浏览器访问的,于是我就用自己的访问了一下我的网站Chrome HSTS异常导致无法访问HTTPS网页,访问的结果让我不禁大吃一惊,我的网站访问后竟然提示“D”错误,证书的确出了问题。
一开始我怀疑是网站服务器的时间是不是有问题,登陆服务器上去看了一下,时间没问题,那么是证书没有自动更新吗?我的网站使用的是Let's 的证书,我设置为自动更新,我查看了一下,证书刚刚在9月23日自动更新过一次,有效期没有到,SSL证书肯定没有过期。
我自己测试,在PC端用访问Let's 的证书没问题,但用的访问就会报SSL证书错误“D”。难道是这个证书更新的时候出了什么问题,但为什么23日更新到现在都没异常,就是今天出现异常?
我陷入了迷茫之中,我的网站使用Let's 的免费证书,已经自动更新了好几年,几年来一直都没有问题,今天是第一次出现这种奇怪的问题。
好在我早先为网站申请过多个品牌的SSL证书,我于是先紧急手动安装了网站的免费版SSL证书,证书是一年有效期的,安装部署SSL证书完成之后,使用手机端浏览网站恢复了正常,PC端浏览网站也正常。这说明问题的根源是Let's 的证书存在问题。
考虑到Let's 的免费SSL证书今天出现的这种重大问题,同时考虑到这个证书3个月更换一次,可能会出现不可预知的更新错误,我决定,网站干脆就换的免费版SSL证书算了,大不了就是一年手动更新一次SSL证书。
我后来查询了一下相关新闻,这次的网站事故可能和这条新闻有关:《Let's 根证书过期预警 请在9月30日前及时更新》,时间正好对的上,正好是9月30日证书出错。下面是该新闻的全文:
Let's 根证书过期预警 请在9月30日前及时更新
安全研究员 Scott Helme 警告称:作为全球最大 HTTPs 证书提供商之一的 Let's ,即将于下周停用旧版根证书(Root CA)。这意味着数百万计依赖它的网站必须在 9 月 30 日前及时更新,不然将面临不受计算机、设备或 Web 浏览器信任的困扰。
据悉,作为一家非盈利组织,Let's 致力于通过颁发证书来推动设备和互联网数据通信的加密,确保不被第三方拦截并窃取信息。
然而 Let's 当前使用的 DST Root CA X3 根证书,也即将于下周过期。对于大部分网站的访客来说,9 月 30 日可能是个波澜不惊的一天。
但是对于较旧的设备来说,可能还是会遇到一些问题 --正如 CA Root 在今年 5 月遭遇的根证书过期中断那样Chrome HSTS异常导致无法访问HTTPS网页,造成、Red Hat 和 Roku 都受到了影响。
Scott Helme 在一篇博文中写道:“考虑到 Let's 和 之间的体量差异,我有预感 根证书到期时又会让历史重演,甚至可能引发更多的问题”。
当然,潜在易受影响的,主要是那些不怎么定期更新的设备 -- 比如嵌入式系统、或运行多年前软件版本的智能手机。
举个例子,运行 macOS 2016 和 XP SP3 的设备用户可能在月底之后遇到麻烦。依赖 1.0.2 或更早版本的客户端平台也可能受到影响,此外还有尚未升级到新版固件的 老游戏机。
鉴于 生态有着长期存在且众所周知的问题,为了防止大多数智能机受到本次事件的影响,Let's 已于今年早些时候未雨绸缪地过渡到了自家的 ISRG Root X1 证书(到期时间为 2035 年)。
虽然包括 7.1.1()及更早版本的设备并不信任它,但 Let's 还是能够通过对自颁证书进行交叉签名的方式,让大多数 设备可在未来三年内避免受到波及。
但若你还想在 5.0()上安装 ,最好还是尽早为迁移至新平台做打算。
最后,自 2014 年成立以来,截止 2021 年 9 月初,Let's 总计已经颁发了超过 20 亿份证书。
() ()
评论留言