Let’s Encrypt翻译成中文叫“让我们来加密”,实际上这是个为广大网站免费颁发SSL/TLS证书的项目。Let’s Encrypt的来头不小,目前它是由Linux基金会托管的,发起该项目的组织包括Mozilla、思科、EFF等。这个项目对于Web世界由HTTP过渡到HTTPS是异常重要的。
然而最近,Let’s Encrypt自身却泄露了7000多名用户的电子邮件地址,这岂不是跟互联网安全的宗旨背道而驰吗?
Let’s Encrypt简介
Let’s Encrypt项目自问世以来就很受欢迎。据说到今年4月中旬,他们就已经发放了超过170万份证书。这也很好理解,毕竟Let’s Encrypt是免费发放证书的,这是利国利民的事业。
许多网站管理人员在享受这项服务的同时,还顺便订阅了Let’s Encrypt的简报——就类似于平常你在一家网站注册,或者购买某款产品之后,还订阅了这家网站的各种动态信息,网站会定期给你发邮件。目前Let’s Encrypt已经拥有38.3万订阅用户。
就在前两天,Let’s Encrypt给所有简报订阅用户发邮件,结果就出问题了。这封邮件并非什么机密信息,是相关订阅用户协议更新的。
第三方服务的侧漏
Let’s Encrypt并没有选择自己给用户发邮件,而是找第三方服务代发。在这封简报邮件发出后,7618名用户的邮件地址遭遇泄露。Let’s Encrypt ISRG执行董事Josh Aas表示,这是系统中的BUG导致的。
这套第三方系统会将订阅用户的电子邮件地址添加到发送队列中。BUG就在于,订阅队列中的第10个人,是可以看到订阅队列前9个人的电子邮件地址的。
以此类推,大量用户的邮箱地址也就因此泄露了。收到这封邮件的部分用户,很快就将该问题反映给了Let’s Encrypt负责人。即便负责人很快采取措施,却已经有7618位用户收到了邮件,这些用户占到订阅用户总数的1.9%,悲剧也就这么发生了。
Aas表示:
“如果您收到了这封邮件,我们请求您不要公开这份邮箱地址列表。”
Aas还说,未来一定会就此事件再做一份反馈报告。
参考来源:SP,FB小编dawner编译
原文出处:FreeBuf黑客与极客(FreeBuf.COM)
本文链接:https://www.yunweipai.com/7680.html
网友评论comments