300多万张证书被吊销，重大影响背后，可靠证书到底有多重要？

公益型数字证书颁发机构(CA) Let's Encrypt 近日宣布，于（世界标准时间UTC）3月4日起撤销3,048,289张有效SSL/TLS 证书，并向受影响的客户发邮件告知，以便其及时更新。

为避免用户业务中断，Let's Encrypt 建议用户在3月4日前更换受影响的证书，否则网站访客会看到一个与证书失效有关的安全警告。

（图片来自网络）

由于事发的突然性和时区问题，以及因为免费证书导致本身服务能力较弱，Let's Encrypt只给一些公司不到2小时的通知，仅通知到其中极少部分的用户。

据统计，由于过期证书而导致的意外业务中断可能造成的损失超过1100万美元，对于那些不知道自己因无法预计的原因而经历业务中断的企业将会造成巨大损失！

CAA验证Bug导致300多万张证书被吊销

CAA是一项安全功能，允许域管理员创建DNS记录，该记录使得网站所有者仅授权指定CA机构为自己的域名颁发证书，以防止HTTPS证书错误签发。并且，当局必须在颁发证书前8小时内检查CAA记录。

2 月底的时候，Let's Encrypt发现其证书颁发机构（CA）中的漏洞导致在CAA验证时，多域证书上的一个域被多次检查，而不是证书上的所有域都被检查一次。这意味着，某些域在没有被验证的情况下，颁发了证书，即使某些域名不符合Let's Encrypt的CAA记录。

因此，Let's Encrypt强制撤销了3048289张当前有效的证书，占其约1.16亿有效证书总数的2.6％。此次漏洞可能为恶意攻击者打开控制网站上 SSL/TSL证书的门，从而使黑客能够窃听网络流量并收集敏感数据。

如何选择适合企业的安全SSL证书？

在互联网+可信的大环境下，因为网站SSL证书具有数据加密传输，防止网站用户被钓鱼/窃取/篡改等功能，SSL/TLS证书（服务器证书）已成为各大网站信息安全的基础配置。

那么市面上那些免费的SSL证书可以用吗？能保障网站安全吗？

免费的SSL证书是经销商中间证书的产物，这种SSL证书信任度极低，证书有效性也可能会随时暂停，免费的产品更没有可靠技术支持与品质保障。

在企业网站日益重要的互联网时代，使用免费的SSL证书，有着太多不可预知的安全隐患，相当于将一把刀放在企业较脆弱的地方！

而此次安全漏洞造成的证书撤销事件，再次证明了使用免费的SSL证书对于企业来说存在较高的安全风险。由权威的CA机构颁发的付费SSL证书在安全性、稳定性、保障性等方面都有着免费证书不可比拟的优势。

根据信任级别、安全级别、浏览器显示效果的不同，SSL证书有不同的分类：

根据安全等级，SSL证书由低到高分为：DV SSL证书、OV SSL证书和EV SSL证书。
根据域名数量，SSL证书又可以分为：单域名证书、多域名证书和通配符证书。

DV SSL证书适用于个人网站、测试网站或创业网站，而企业要保障自己的网站信息安全，网上业务稳定，用户隐私安全等，应当选择OV SSL或者更高级别的EV SSL证书。

（上海CA提供全品类的SSL证书，满足您的不同需求）

上海CA是国内首批通过国际WebTrust认证的机构，所颁发的证书受到国际和国内的双重认可，拥有成熟的发放管理证书技术，提供稳定的证书售前售后服务，能够为用户提供国际国内多种类型的SSL证书解决方案，满足您的多种需求。

为保障您的网站安全和优质体验，我们会及时响应您的网络安全需求，为您提供可信网络信息安全管理解决方案，保障企业网站数据与安全同行！