憑證機構LiteSSL遭揭ACME驗證資料重用漏洞,官方稱已撤銷143張憑證
漏洞說明
憑證機構LiteSSL的ACME自動化簽發服務存在缺陷,其DNS-01驗證授權資料可被不同ACME帳號重用,導致在憑證簽發時,未重新確認網域控制權,即核發萬用字元憑證,存在安全風險。
影響範圍與處理
- 影響範圍涵蓋2025年12月29日之後以ACME簽發的憑證。
- 合計影響143張憑證,TrustAsia已承認此問題並表示目前已全數撤銷且完成修補。
來源資訊
該事件由iThome報導,並在多個相關頁面中被提及,包括資安專區與新聞總覽。