Συχνές ερωτήσεις: Ποιο είναι το ζήτημα της εντροπίας σειριακού αριθμού που ακούω;

Το SSL.com θα εκδώσει αντικατάσταση SSL /TLS πιστοποιητικά για όσους επηρεάζονται από την έκδοση εντροπίας του σειριακού αριθμού της EJBCA.

Σχετικό περιεχόμενο

Θέλετε να συνεχίσετε να μαθαίνετε;

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com, μείνετε ενημερωμένοι και ασφαλείς.

Ενδέχεται να έχετε δει αναφορές για ένα ζήτημα που επηρεάζει πολλές αρχές έκδοσης πιστοποιητικών, συμπεριλαμβανομένων των Apple, Google, GoDaddy και (δυστυχώς) SSL.com. Οι περισσότερες από αυτές τις εταιρείες χρησιμοποιούν ένα πρόγραμμα που ονομάζεται EJBCA (Enterprise Java Beans Certificate Authority) για μια σειρά δραστηριοτήτων CA. Όπως σημείωσε ο Διευθυντής Αρχιτεκτονικής Ασφάλειας της SSL.com, Φώτης Λουκός:

"Η μέθοδος δημιουργίας σειριακών αριθμών της EJBCA οδήγησε σε ασυμφωνία μεταξύ της αναμενόμενης και της πραγματικής συμπεριφοράς και εξόδου, έτσι ώστε οποιαδήποτε ΑΠ που χρησιμοποιεί το EJBCA με τις προεπιλεγμένες ρυθμίσεις να αντιμετωπίσει αυτό το ζήτημα (και ως εκ τούτου παραβιάζει το BR 7.1)."

Το «BR 7.1» αναφέρεται στην Ενότητα 7.1 των απαιτήσεων βασικής γραμμής φόρουμ CA / B, η οποία αναφέρει:

"Από τις 30 Σεπτεμβρίου 2016, οι CA θα παράγουν μη διαδοχικούς σειριακούς αριθμούς πιστοποιητικού μεγαλύτερους από το μηδέν (0) που περιέχουν τουλάχιστον 64 bit εξόδου από ένα CSPRNG."

Το CSPRNG είναι συντομογραφία για την "κρυπτογραφικά ασφαλή γεννήτρια ψευδοτυχαίων αριθμών" και είναι ο μηχανισμός που χρησιμοποιείται για τη δημιουργία αριθμών με επαρκή τυχαιότητα (ή "εντροπία") για να εγγυηθεί ότι είναι ασφαλείς και μοναδικοί. Η μέθοδος που επέλεξε το EJBCA κατά τη δημιουργία σειριακών αριθμών, ωστόσο, ορίζει αυτόματα το αρχικό bit στο μηδέν - πράγμα που σημαίνει ότι σε μια συμβολοσειρά μήκους 64 bit, ο σειριακός αριθμός θα περιέχει μόνο 63 bit εξόδου από το CSPRNG.

Ο πραγματικός αντίκτυπος αυτού του ζητήματος στην ασφάλεια είναι σχεδόν μικρός, αλλά ακόμη και αν η διαφορά μεταξύ 63 και 64 bit εντροπίας δεν θέτει τους χρήστες του Διαδικτύου σε κίνδυνο, παραβιάζει ακόμη τις απαιτήσεις που ο SSL.com και όλοι οι άλλοι αξιόπιστοι Οι ΑΣ παρατηρούν. Αυτός είναι ο λόγος για τον οποίο το SSL.com ανακαλεί όλα τα επηρεαζόμενα πιστοποιητικά και εκδίδει πιστοποιητικά αντικατάστασης για όλους τους επηρεαζόμενους πελάτες.

Τα πιστοποιητικά αντικατάστασης θα είναι του ίδιου τύπου με τα ανακληθέντα και θα περιέχουν τα ίδια ονόματα DNS. Επιπλέον, η διάρκεια ζωής αυτών των πιστοποιητικών αντικατάστασης θα είναι του πλήρης διάρκεια του αρχικά αγορασμένου πιστοποιητικού. Αυτό σημαίνει ότι ακόμη και αν αγοράσατε ένα πιστοποιητικό ενός έτους πριν από τέσσερις μήνες, το νέο πιστοποιητικό αντικατάστασης θα ισχύει για ένα ολόκληρο έτος από την ημερομηνία έκδοσής του, δίνοντάς σας συνολικά 16 μήνες.

Τέλος, αυτό το ζήτημα ισχύει αποκλειστικά στο SSL.com του SSL /TLS πιστοποιητικά (Basic, Premium, High Assurance, Enterprise EV, Wildcard και Multi-domain). Άλλοι τύποι πιστοποιητικών, συμπεριλαμβανομένων S/MIME, NAESB και υπογραφή κώδικα, δεν επηρεάζονται με κανέναν τρόπο.

Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.