Може да сте виждали доклади за проблем, който засяга множество сертифициращи органи, включително Apple, Google, GoDaddy и (за съжаление) SSL.com. Повечето от тези компании използват програма, наречена EJBCA (Enterprise Java Beans Certificate Authority) за редица CA дейности. Както отбеляза директорът по архитектура на сигурността на SSL.com Фотис Лукос:
„Методът на EJBCA за генериране на серийни номера доведе до несъответствие между очакваното и действителното поведение и изход, така че всеки CA, използващ EJBCA с настройките по подразбиране, ще срещне този проблем (и следователно е в нарушение на BR 7.1).“
„BR 7.1“ се отнася до раздел 7.1 от Изискванията за базово ниво на CA / B Forum, който гласи:
„В сила от 30 септември 2016 г. CAs ТРЯБВА да генерират последователни серийни номера на сертификата, по-големи от нула (0), съдържащи най-малко 64 бита изход от CSPRNG.“
CSPRNG е съкращение от „криптографски защитен генератор на псевдослучайни числа“ и е механизмът, използван за генериране на числа с достатъчно произволност (или „ентропия“), за да гарантира, че те са сигурни и уникални. Методът, който EJBCA избра да използва при генериране на серийни номера, обаче автоматично задава началния бит на нула - което означава, че в 64-битов дълъг низ серийният номер ще съдържа само 63 бита изход от CSPRNG.
Реалното въздействие на този проблем върху сигурността е изчезващо малко, но дори ако разликата между 63 и 64 бита ентропия не излага потребителите на интернет в риск, той все още е в нарушение на изискванията, които SSL.com и всички други уважавани УО наблюдават. Ето защо SSL.com отменя всички засегнати сертификати и издава заместващи сертификати за всички засегнати клиенти.
Сертификатите за замяна ще бъдат от същия тип като отменените и ще съдържат същите DNS имена. Освен това, срокът на експлоатация на тези сертификати за замяна ще бъде от пълна продължителност на първоначално закупения сертификат. Това означава, че дори ако сте закупили едногодишен сертификат преди четири месеца, новият ви сертификат за замяна ще бъде валиден цяла година от датата на издаването му, като ви дава общо 16 месеца.
И накрая, този въпрос се прилага само за лична употреба към SSL.com на SSL /TLS сертификати (Basic, Premium, High Assurance, Enterprise EV, Wildcard и Multi-domain). Други видове сертификати, включително S/MIME, NAESB и подписването на код не се влияят по никакъв начин.
