简讯: DigiCert 旗下的数字证书颁发机构 Thawte 的一份根证书被吊销，具体吊销原因目前未知

简讯: DigiCert 旗下的数字证书颁发机构 Thawte 的一份根证书被吊销，具体吊销原因目前未知 截止到目前 DigiCert 和 Thawte 都没有发布公告。由于这是根证书，不少软件使用该证书进行的代码签名，证书被吊销后导致软件无法正常打开。 证书thawte Primary Root CA 开始时间： Nov 17 00:00:00 2006 GMT 结束时间：Jul 16 23:59:59 2036 GMT SHA-1：91C6D6EE3E8AC86384E548C299295C756C817B81 SHA-256：8D722F81A9C113C0791DF136A2966DB26C950A971DB46B4199F4EA54B78BFB9F 消息来源:

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销 提醒：如果你使用Let’s Encrypt提供的免费SSL证书，请检查你提交申请时留的邮箱，如果邮箱收到来自Let’s Encrypt的通知则你的证书很可能会在未来5天内被吊销。 如果你当时留的邮箱是随便填写的，那么基于稳妥考虑建议你重新申请并签发证书，确保旧证书不会被自动吊销。 吊销工作将从国际协调时2022年1月28日16:00开始(UTC +0，下同)，最迟会在5天内完成吊销，如果快的话那么最近签发的错误证书很可能很快就会被吊销。 吊销原因：根据Let’s Encrypt发布的公告，第三方仓库Boulder向ISRG(Let’s Encrypt的运营方)发出通知，该机构使用的ALPN TLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。 Let’s Encrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’s Encrypt Certificate Policy政策要求，证书颁发机构需在5天内让错误证书失效，Let’s Encrypt计划从2022年1月28日16:00开始吊销错误证书。 但请注意，并非所有证书都受此问题影响，Let’s Encrypt仅会撤销受影响的错误证书，当前已经向相关用户发送邮件通知。 Let’s Encrypt预计少于1%的活跃证书受此问题影响，但考虑到Let’s Encrypt活跃证书超过2.21亿张，即便是1%也影响数百万张证书，这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败，也就是直接导致网站或服务无法连接。 cnBeta

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销 ======== TLS-ALPN-01 影响有限 用DNS和HTTP的无影响 解决方案就是强制重签证书，旧证书直接抛

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

以色列吊销了巴勒斯坦外交部长里亚德·马立基的VIP卡。

以色列吊销了巴勒斯坦外交部长里亚德·马立基的VIP卡。 VIP卡允许巴勒斯坦高级官员进出被占领的约旦河西岸。马立基称，他参加完巴西总统就职典礼回来时被告知，以色列吊销了他的VIP卡。巴勒斯坦人谴责该行为，称以色列应为违反国际法受到惩罚。 以色列国防部证实了吊销决定，称此举为6日政府措施的一部分。总理内塔尼亚胡8日表示，巴勒斯坦权力机构在联合国推动了一项极端反以色列的决议，因此作出上述措施。 以色列政府6日决定从巴勒斯坦权力机构扣留3900万美元，用于补偿在巴勒斯坦极端分子袭击中的以色列受害者家属。以色列还将拒绝向以色列发难的巴勒斯坦官员提供特权。国防部7日已经取消了另外3名巴勒斯坦官员进入以色列的VIP卡。 （美联社，路透社）