Let’s Encrypt翻譯成中文叫“讓我們來加密”，實際上這是個為廣大網站免費頒發SSL/TLS證書的專案。Let’s Encrypt的來頭不小，目前它是由Linux基金會託管的，發起該專案的組織包括Mozilla、思科、EFF等。這個專案對於Web世界由HTTP過渡到HTTPS是異常重要的。

然而最近，Let’s Encrypt自身卻洩露了7000多名使用者的電子郵件地址，這豈不是跟網際網路安全的宗旨背道而馳嗎？

Let’s Encrypt簡介

Let’s Encrypt專案自問世以來就很受歡迎。據說到今年4月中旬，他們就已經發放了超過170萬份證書。這也很好理解，畢竟Let’s Encrypt是免費發放證書的，這是利國利民的事業。

許多網站管理人員在享受這項服務的同時，還順便訂閱了Let’s Encrypt的簡報——就類似於平常你在一家網站註冊，或者購買某款產品之後，還訂閱了這家網站的各種動態資訊，網站會定期給你發郵件。目前Let’s Encrypt已經擁有38.3萬訂閱使用者。

就在前兩天，Let’s Encrypt給所有簡報訂閱使用者發郵件，結果就出問題了。這封郵件並非什麼機密資訊，是相關訂閱使用者協議更新的。

第三方服務的側漏

Let’s Encrypt並沒有選擇自己給使用者發郵件，而是找第三方服務代發。在這封簡報郵件發出後，7618名使用者的郵件地址遭遇洩露。Let’s Encrypt ISRG執行董事Josh Aas表示，這是系統中的BUG導致的。

這套第三方系統會將訂閱使用者的電子郵件地址新增到傳送佇列中。BUG就在於，訂閱佇列中的第10個人，是可以看到訂閱佇列前9個人的電子郵件地址的。

以此類推，大量使用者的郵箱地址也就因此洩露了。收到這封郵件的部分使用者，很快就將該問題反映給了Let’s Encrypt負責人。即便負責人很快採取措施，卻已經有7618位使用者收到了郵件，這些使用者佔到訂閱使用者總數的1.9%，悲劇也就這麼發生了。

Aas表示：

“如果您收到了這封郵件，我們請求您不要公開這份郵箱地址列表。”

Aas還說，未來一定會就此事件再做一份反饋報告。

參考來源：SP，FB小編dawner編譯

原文出處：FreeBuf黑客與極客（FreeBuf.COM）