취약점으로 인해 Let's Encrypt 300만개의 TLS 인증서 폐지

Let's Encrypt to Revoke 3 Million TLS Certificates Due to Bug

3월 5일, Let's Encrypt의 인증기관(CA) 소프트웨어 버그로 인하여 약 300만개의 TLS 인증서를 취소하였습니다. 

현재 Let's Encrypt는 이미 영향받는 고객들에게 이메일로 공지를 발송하였으며, 빠른 시일내에 갱신하기를 권고하고 있습니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/>

Encrypt는 인증서를 발행하기 전 소프트웨어가 도메인 소유권을 확인하는 방식에 영향을 미치는 CAA 버그로 인해 3 백만 개의 인증서를 취소해야한다고 설명했습니다. 

Savla는이 버그로 인해 악의적인 공격자가 웹 사이트에서 TLS 인증서를 제어 할 수있게되어 해커가 웹 트래픽을 도청하고 민감한 데이터를 수집 할 수 있다고 경고했습니다.

Let's Encrypt의 Boulder라고 불리는 CA SW는 다중 도메인 인증서 상의 모든 도메인이 아닌 하나의 도메인에 대해 여러 번의 검사를 진행하도록 합니다. 이는 즉, 일부 도메인에 대해 인증절차를 거치치 않고 인증서가 발급될 수 있다는 것을 의미합니다. 

이 버그의 영향을 받는지 여부는 여기에서 확인하실 수 있습니다. 

출처 : 

https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/