myssl

@caola @00oo00 前面有提到 DNS-PERSIST-01 （长效验证）已在计划中。

LiteSSL ACME 相关域名验证重用有效期（ Reuse Period)已在昨晚从 30 天调整为 7 天。 #83 #84

@xzl380 感谢认可！楼主 @00oo00 的嗅觉确实非常敏锐，帮我们排除了一个重大隐患。

关于 SRC 的建议非常好！目前我们主要通过邮件接收反馈。这次事发第一时间，我们也从多个渠道收到热心社区用户给我们反馈此帖子，包括邮件、在线客服，这让我们能在第一时间收到并进行处理，将影响降到最低。

确实我们后面需要建立更完善的漏洞响应和奖励机制，希望能和白帽子们建立更长期的良性互动，也欢迎大佬们给点建议。

@mikewang 是的，本质是和 EAB 绑定的域名验证缓存（有效期 30 天）被利用了，从审慎的角度，我们昨晚已将最近上线以来的所有 ACME 授权的域名状态从 VALID 重置为 REVOKED #78

@all 昨晚问题已修复，受影响的证书已撤销，初步报告已经发布在 https://bugzilla.mozilla.org/show_bug.cgi?id=2011713 ，根因分析会在晚些时候同步。

@caola 观测到您目前似乎是将同一个 EAB 共享给多位终端用户使用。这种模式存在较大的安全隐患，我们也非常不鼓励这样做，这不仅会导致域名预验证信息被共享，导致未经鉴权的签发。如果 EAB 身份密钥泄漏，甚至可能导致用户证书被恶意吊销。

考虑到证书有效期即将进一步缩短的大趋势，我们建议采用更原生、更安全的用户直连 ACME 模式。如有需要，欢迎联系 [email protected] ，我们可以探讨更规范的对接合作方案，保障您用户的安全。

同时，也借此说明下 LiteSSL 的初衷：这是我们对 ACME 新特性（如 ARI 、Profile 等）的先行探索项目。我们坚持做免费社区版，就是为了与开发者共同进化。非常欢迎各类开源 ACME 客户端（例如 acme.sh 等）与我们集成，共同完善生态。

@caola 事发紧急，为了最大程度降低对您这边用户的影响，烦请您发个联系方式到 [email protected] 。

LiteSSL 目前主要通过 FreeSSL 渠道分发，我们拥有账户体系，目前正在紧急安排通知受影响的客户。

我看 cao.la 申请证书时是需要微信或邮箱登录的，想确认下您是在 FreeSSL.cn 注册的吗？如果是，麻烦邮件告知一下您的注册账号，我们可以将针对您证书的具体处理情况精准通知到您。 #65

@unused #58 是的，作为 CA 我们会对签发的证书负责，今天会确认清单，并通知用户。

同时我们也需要遵循 CAB/F 的要求，需要对相关证书在 24 小时内进行吊销处理，以降低对生态的威胁。初步排查涉及 100 多张证书，正在进一步核对。

由于目前 ACME 客户端对 ARI 特性（自动重签发证书，再吊销）支持还不完善， @caola 您这边平台是怎么对接我们 LiteSSL 获得 EAB 的，是否有客户联系方式，能否协助我们尽量通知到客户。#51

@00oo00 是的，LiteSSL 是 TrustAsia 推出的免费公益项目，主要应对接下来证书有效期缩短带来的挑战，主推 ACME ，包括 ARI 、Profile 、长效验证等自动化有效的特性。

@caola LiteSSL 正在计划提供短效 IP 证书（需要 ACME 客户端支持 Profile 特性），之前没有提供是由于 IP 证书存在转移过于频繁，对安全生态不利。