FAQ: Hvad er "serienummer entropi" -problemet, jeg hører om?

SSL.com udsteder erstatnings SSL /TLS certifikater for dem, der er berørt af EJBCAs entropiproblem med serienummer.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

Du har muligvis set rapporter om et problem, der påvirker flere certifikatmyndigheder, herunder Apple, Google, GoDaddy og (desværre) SSL.com. De fleste af disse virksomheder bruger et program kaldet EJBCA (Enterprise Java Beans Certificate Authority) til en række CA-aktiviteter. Som SSL.com's direktør for sikkerhedsarkitektur Fotis Loukos har bemærket:

“EJBCAs metode til at generere serienumre har ført til en uoverensstemmelse mellem forventet og faktisk opførsel og output, således at enhver CA, der bruger EJBCA med standardindstillingerne, støder på dette problem (og derfor er i strid med BR 7.1)."

"BR 7.1" henviser til afsnit 7.1 i CA / B-forumets baseline-krav, som siger:

“Med virkning fra 30. september 2016 SKAL CA'er generere ikke-sekventielle certifikatserienumre større end nul (0) indeholdende mindst 64 bit output fra en CSPRNG.”

CSPRNG er en forkortelse for "kryptografisk sikker pseudo-tilfældig talgenerator" og er den mekanisme, der bruges til at generere tal med tilstrækkelig tilfældighed (eller "entropi") til at garantere, at de er sikre og unikke. Metoden, som EJBCA valgte at bruge ved generering af serienumre, indstiller dog automatisk den indledende bit til nul - hvilket betyder, at serienummeret i en 64 bit lang streng kun indeholder 63 bit output fra CSPRNG.

Den virkelige verdens indvirkning på sikkerheden er forsvindende lille, men selvom forskellen mellem 63 og 64 bit entropi ikke sætter internetbrugere i fare, er det stadig i strid med de krav, som SSL.com og alle andre velrenommerede CA'er observerer. Dette er grunden til, at SSL.com tilbagekalder alle berørte certifikater og udsteder erstatningscertifikater til alle berørte kunder.

Erstatningscertifikaterne vil være af samme type som de tilbagekaldte, og vil indeholde de samme DNS-navne. Endvidere vil levetiden for disse erstatningscertifikater være af fuld varighed af det oprindeligt købt certifikat. Det betyder, at selv hvis du købte et års certifikat for fire måneder siden, vil dit nye erstatningscertifikat være gyldigt i et helt år fra udstedelsesdatoen, hvilket giver dig i alt 16 måneder.

Endelig gælder dette spørgsmål kun til SSL.com's SSL /TLS certifikater (Basic, Premium, High Assurance, Enterprise EV, Wildcard og Multi-domain). Andre typer certifikater, herunder S/MIME, NAESB og kodesignering påvirkes ikke på nogen måde.

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.