Let’s Encrypt翻譯成中文叫“讓我們來(lái)加密”，實(shí)際上這是個(gè)為廣大網(wǎng)站免費(fèi)頒發(fā)SSL/TLS證書(shū)的項(xiàng)目。Let’s Encrypt的來(lái)頭不小，目前它是由Linux基金會(huì)托管的，發(fā)起該項(xiàng)目的組織包括Mozilla、思科、EFF等。這個(gè)項(xiàng)目對(duì)于Web世界由HTTP過(guò)渡到HTTPS是異常重要的。

然而最近，Let’s Encrypt自身卻泄露了7000多名用戶(hù)的電子郵件地址，這豈不是跟互聯(lián)網(wǎng)安全的宗旨背道而馳嗎？

Let’s Encrypt簡(jiǎn)介

Let’s Encrypt項(xiàng)目自問(wèn)世以來(lái)就很受歡迎。據(jù)說(shuō)到今年4月中旬，他們就已經(jīng)發(fā)放了超過(guò)170萬(wàn)份證書(shū)。這也很好理解，畢竟Let’s Encrypt是免費(fèi)發(fā)放證書(shū)的，這是利國(guó)利民的事業(yè)。

許多網(wǎng)站管理人員在享受這項(xiàng)服務(wù)的同時(shí)，還順便訂閱了Let’s Encrypt的簡(jiǎn)報(bào)——就類(lèi)似于平常你在一家網(wǎng)站注冊(cè)，或者購(gòu)買(mǎi)某款產(chǎn)品之后，還訂閱了這家網(wǎng)站的各種動(dòng)態(tài)信息，網(wǎng)站會(huì)定期給你發(fā)郵件。目前Let’s Encrypt已經(jīng)擁有38.3萬(wàn)訂閱用戶(hù)。

就在前兩天，Let’s Encrypt給所有簡(jiǎn)報(bào)訂閱用戶(hù)發(fā)郵件，結(jié)果就出問(wèn)題了。這封郵件并非什么機(jī)密信息，是相關(guān)訂閱用戶(hù)協(xié)議更新的。

第三方服務(wù)的側(cè)漏

Let’s Encrypt并沒(méi)有選擇自己給用戶(hù)發(fā)郵件，而是找第三方服務(wù)代發(fā)。在這封簡(jiǎn)報(bào)郵件發(fā)出后，7618名用戶(hù)的郵件地址遭遇泄露。Let’s Encrypt ISRG執(zhí)行董事Josh Aas表示，這是系統(tǒng)中的BUG導(dǎo)致的。

這套第三方系統(tǒng)會(huì)將訂閱用戶(hù)的電子郵件地址添加到發(fā)送隊(duì)列中。BUG就在于，訂閱隊(duì)列中的第10個(gè)人，是可以看到訂閱隊(duì)列前9個(gè)人的電子郵件地址的。以此類(lèi)推，大量用戶(hù)的郵箱地址也就因此泄露了。收到這封郵件的部分用戶(hù)，很快就將該問(wèn)題反映給了Let’s Encrypt負(fù)責(zé)人。即便負(fù)責(zé)人很快采取措施，卻已經(jīng)有7618位用戶(hù)收到了郵件，這些用戶(hù)占到訂閱用戶(hù)總數(shù)的1.9%，悲劇也就這么發(fā)生了。

Aas表示：

“如果您收到了這封郵件，我們請(qǐng)求您不要公開(kāi)這份郵箱地址列表。”

Aas還說(shuō)，未來(lái)一定會(huì)就此事件再做一份反饋報(bào)告。