Du har muligvis set rapporter om et problem, der påvirker flere certifikatmyndigheder, herunder Apple, Google, GoDaddy og (desværre) SSL.com. De fleste af disse virksomheder bruger et program kaldet EJBCA (Enterprise Java Beans Certificate Authority) til en række CA-aktiviteter. Som SSL.com's direktør for sikkerhedsarkitektur Fotis Loukos har bemærket:
“EJBCAs metode til at generere serienumre har ført til en uoverensstemmelse mellem forventet og faktisk opførsel og output, således at enhver CA, der bruger EJBCA med standardindstillingerne, støder på dette problem (og derfor er i strid med BR 7.1)."
"BR 7.1" henviser til afsnit 7.1 i CA / B-forumets baseline-krav, som siger:
“Med virkning fra 30. september 2016 SKAL CA'er generere ikke-sekventielle certifikatserienumre større end nul (0) indeholdende mindst 64 bit output fra en CSPRNG.”
CSPRNG er en forkortelse for "kryptografisk sikker pseudo-tilfældig talgenerator" og er den mekanisme, der bruges til at generere tal med tilstrækkelig tilfældighed (eller "entropi") til at garantere, at de er sikre og unikke. Metoden, som EJBCA valgte at bruge ved generering af serienumre, indstiller dog automatisk den indledende bit til nul - hvilket betyder, at serienummeret i en 64 bit lang streng kun indeholder 63 bit output fra CSPRNG.
Den virkelige verdens indvirkning på sikkerheden er forsvindende lille, men selvom forskellen mellem 63 og 64 bit entropi ikke sætter internetbrugere i fare, er det stadig i strid med de krav, som SSL.com og alle andre velrenommerede CA'er observerer. Dette er grunden til, at SSL.com tilbagekalder alle berørte certifikater og udsteder erstatningscertifikater til alle berørte kunder.
Erstatningscertifikaterne vil være af samme type som de tilbagekaldte, og vil indeholde de samme DNS-navne. Endvidere vil levetiden for disse erstatningscertifikater være af fuld varighed af det oprindeligt købt certifikat. Det betyder, at selv hvis du købte et års certifikat for fire måneder siden, vil dit nye erstatningscertifikat være gyldigt i et helt år fra udstedelsesdatoen, hvilket giver dig i alt 16 måneder.
Endelig gælder dette spørgsmål kun til SSL.com's SSL /TLS certifikater (Basic, Premium, High Assurance, Enterprise EV, Wildcard og Multi-domain). Andre typer certifikater, herunder S/MIME, NAESB og kodesignering påvirkes ikke på nogen måde.
