@caola @00oo00 前面有提到 DNS-PERSIST-01 （长效验证）已在计划中。

LiteSSL ACME 相关域名验证重用有效期（ Reuse Period)已在昨晚从 30 天调整为 7 天。 #83 #84

@xzl380 感谢认可！楼主 @00oo00 的嗅觉确实非常敏锐，帮我们排除了一个重大隐患。

关于 SRC 的建议非常好！目前我们主要通过邮件接收反馈。这次事发第一时间，我们也从多个渠道收到热心社区用户给我们反馈此帖子，包括邮件、在线客服，这让我们能在第一时间收到并进行处理，将影响降到最低。

确实我们后面需要建立更完善的漏洞响应和奖励机制，希望能和白帽子们建立更长期的良性互动，也欢迎大佬们给点建议。

@mikewang 是的，本质是和 EAB 绑定的域名验证缓存（有效期 30 天）被利用了，从审慎的角度，我们昨晚已将最近上线以来的所有 ACME 授权的域名状态从 VALID 重置为 REVOKED #78

@all 昨晚问题已修复，受影响的证书已撤销，初步报告已经发布在 https://bugzilla.mozilla.org/show_bug.cgi?id=2011713 ，根因分析会在晚些时候同步。

@caola 观测到您目前似乎是将同一个 EAB 共享给多位终端用户使用。这种模式存在较大的安全隐患，我们也非常不鼓励这样做，这不仅会导致域名预验证信息被共享，导致未经鉴权的签发。如果 EAB 身份密钥泄漏，甚至可能导致用户证书被恶意吊销。

考虑到证书有效期即将进一步缩短的大趋势，我们建议采用更原生、更安全的用户直连 ACME 模式。如有需要，欢迎联系 [email protected] ，我们可以探讨更规范的对接合作方案，保障您用户的安全。

同时，也借此说明下 LiteSSL 的初衷：这是我们对 ACME 新特性（如 ARI 、Profile 等）的先行探索项目。我们坚持做免费社区版，就是为了与开发者共同进化。非常欢迎各类开源 ACME 客户端（例如 acme.sh 等）与我们集成，共同完善生态。

@caola 事发紧急，为了最大程度降低对您这边用户的影响，烦请您发个联系方式到 [email protected] 。

LiteSSL 目前主要通过 FreeSSL 渠道分发，我们拥有账户体系，目前正在紧急安排通知受影响的客户。

我看 cao.la 申请证书时是需要微信或邮箱登录的，想确认下您是在 FreeSSL.cn 注册的吗？如果是，麻烦邮件告知一下您的注册账号，我们可以将针对您证书的具体处理情况精准通知到您。 #65

@unused #58 是的，作为 CA 我们会对签发的证书负责，今天会确认清单，并通知用户。

同时我们也需要遵循 CAB/F 的要求，需要对相关证书在 24 小时内进行吊销处理，以降低对生态的威胁。初步排查涉及 100 多张证书，正在进一步核对。

由于目前 ACME 客户端对 ARI 特性（自动重签发证书，再吊销）支持还不完善， @caola 您这边平台是怎么对接我们 LiteSSL 获得 EAB 的，是否有客户联系方式，能否协助我们尽量通知到客户。#51

@00oo00 是的，LiteSSL 是 TrustAsia 推出的免费公益项目，主要应对接下来证书有效期缩短带来的挑战，主推 ACME ，包括 ARI 、Profile 、长效验证等自动化有效的特性。

@caola LiteSSL 正在计划提供短效 IP 证书（需要 ACME 客户端支持 Profile 特性），之前没有提供是由于 IP 证书存在转移过于频繁，对安全生态不利。

@Kinnice 我们已经实施 MPIC 多视角验证，有 5 个以上远程视角，每个视角数据中心相隔 500KM 。MPIC 的出现很大程度上防止了 BGP 劫持。

@caola 是的，免费的 ACME 服务目前刚上线，还在优化中。我们商业版的 API 已经优化到 6 ～ 10 秒左右，后续还能进一步提升 1 ～ 2 秒。

@pingdog 我们（ TrustAsia ）正准备开 bugzilla 进行披露事件

@caola 明确给出的域名已经完成吊销，其他可能存在跨账号隔离证书正在排查

目前调查反馈仅影响近期刚上线的由 ACME 提供的免费证书，商业证书和 API 提供的证书不受影响。

感谢反馈，TrustAsia 这边收到通知后已立即采取措施：

1.已关闭 LiteSSL 证书签发接口；
2.目前问题已经定位，正在对错误签发的证书执行吊销措施；
3.研发团队正在紧急修复 Bug ，我们将争取尽快恢复服务。

后续有进展我们会在此同步更新。如发现有更多问题，也欢迎及时向 [email protected] 进行反馈。

LE 签发的 300 万证书明天开始吊销，没有售后支持，用户一脸懵逼，甚至都不知道（说好的自动更新）。明天开始用 myssl.com 来检测吧，顺便加个监控，吊销了还能给你通知。