ربما تكون قد شاهدت تقارير حول مشكلة تؤثر على العديد من المراجع المصدقة ، بما في ذلك Apple و Google و GoDaddy و (للأسف) SSL.com. تستخدم معظم هذه الشركات برنامجًا يسمى EJBCA (Enterprise Java Beans Certificate Authority) لمجموعة من أنشطة CA. كما أشار Fotis Loukos ، مدير هندسة الأمن في SSL.com:
"أدت طريقة EJBCA لتوليد الأرقام التسلسلية إلى تناقض بين السلوك والإخراج المتوقع والفعلي ، بحيث أن أي CA يستخدم EJBCA بالإعدادات الافتراضية سيواجه هذه المشكلة (وبالتالي ينتهك BR 7.1)."
يشير "BR 7.1" إلى القسم 7.1 من متطلبات خط الأساس للمنتدى CA / B ، والذي ينص على:
"اعتبارًا من 30 سبتمبر 2016 ، يجب على CAs إنشاء أرقام تسلسلية غير متسلسلة للشهادة أكبر من الصفر (0) تحتوي على 64 بت على الأقل من المخرجات من CSPRNG."
CSPRNG هو اختصار لـ "مولد رقم عشوائي زائف آمن مشفر" وهو الآلية المستخدمة لتوليد أرقام عشوائية كافية (أو "إنتروبيا") لضمان أنها آمنة وفريدة من نوعها. الطريقة التي اختارها EJBCA لاستخدامها عند إنشاء الأرقام التسلسلية ، تقوم تلقائيًا بتعيين البت الأولي إلى صفر - مما يعني أنه في سلسلة طويلة 64 بت ، سيحتوي الرقم التسلسلي على 63 بت فقط من الإخراج من CSPRNG.
إن تأثير هذه المشكلة في العالم الحقيقي على الأمن ضئيل للغاية ، ولكن حتى إذا كان الفرق بين 63 و 64 بتًا من الانتروبيا لا يعرض مستخدمي الإنترنت للخطر ، فإنه لا يزال ينتهك المتطلبات التي يستخدمها موقع SSL.com وكل الآخرين ذوي السمعة الطيبة. لاحظ CAs. هذا هو السبب في قيام SSL.com بإلغاء جميع الشهادات المتأثرة وإصدار شهادات بديلة لجميع العملاء المتأثرين.
ستكون شهادات الاستبدال من نفس نوع الشهادات التي تم إبطالها ، وستحتوي على نفس أسماء DNS. علاوة على ذلك ، فإن عمر شهادات الاستبدال هذه سيكون المدة الكاملة الشهادة الأصلية التي تم شراؤها. وهذا يعني أنه حتى إذا اشتريت شهادة سنة واحدة قبل أربعة أشهر ، فستكون شهادة الاستبدال الجديدة الخاصة بك صالحة لمدة عام كامل من تاريخ إصدارها ، مما يمنحك ما مجموعه 16 شهرًا.
أخيرا ، تنطبق هذه المسألة فقط إلى SSL.com's SSL /TLS الشهادات (Basic و Premium و High Assurance و Enterprise EV و Wildcard و Multi-domain). أنواع أخرى من الشهادات ، بما في ذلك S/MIMEو NAESB وتوقيع التعليمات البرمجية ، لا تتأثر بأي شكل من الأشكال.
