Let’s Encrypt,翻译成中文叫“让我们来加密”,实际上是个为广大网站免费颁发SSL/TLS证书的项目。它的来头不小,目前是由Linux基金会托管,发起该项目的组织包括Mozilla、思科、EFF等。这个项目对于Web世界由HTTP过渡到HTTPS是异常重要的。
该项目自问世以来就很受欢迎,据说到今年4月中旬,他们就已经发放了超过170万份证书。
许多网站管理人员在享受这项服务的同时,还顺便订阅了Let’s Encrypt的简报——就类似于平常你在一家网站注册,或者购买某款产品之后,还订阅了这家网站的各种动态信息,网站会定期给你发邮件。目前Let’s Encrypt已经拥有38.3万订阅用户。
而就在前两天出现了问题,7000多名用户的电子邮件地址被泄露。
第三方服务的侧漏
Let’s Encrypt并没有选择自己给用户发邮件,而是找第三方服务代发。在这封简报邮件发出后,7618名用户的邮件地址遭遇泄露。Let’s Encrypt ISRG执行董事Josh Aas表示,这是系统中的BUG导致的。
这套第三方系统会将订阅用户的电子邮件地址添加到发送队列中。BUG就在于,订阅队列中的第10个人,是可以看到订阅队列前9个人的电子邮件地址的。以此类推,大量用户的邮箱地址也就因此泄露了。收到这封邮件的部分用户,很快就将该问题反映给了Let’s Encrypt负责人。即便负责人很快采取措施,却已经有7618位用户收到了邮件,这些用户占到订阅用户总数的1.9%,悲剧也就这么发生了。
Aas表示:
“如果您收到了这封邮件,我们请求您不要公开这份邮箱地址列表。”
Aas还说,未来一定会就此事件再做一份反馈报告。(@freebuf)
原标题:
