Olet ehkä nähnyt raportteja ongelmasta, joka vaikuttaa useisiin varmenteiden myöntäjiin, kuten Apple, Google, GoDaddy ja (valitettavasti) SSL.com. Suurin osa näistä yrityksistä käyttää EJBCA (Enterprise Java Beans Certificate Authority) -ohjelmaa useisiin varmentajan toimintoihin. Kuten SSL.com: n turvallisuusarkkitehtuurijohtaja Fotis Loukos on todennut:
"EJBCA: n menetelmä sarjanumeroiden tuottamiseksi on johtanut ristiriitaan odotetun ja todellisen käyttäytymisen ja tuotoksen välillä, niin että kaikki EJBCA: ta oletusasetuksilla käyttävät varmentajat kohtaavat tämän ongelman (ja ovat siten BR 7.1: n vastaisia)."
"BR 7.1" viittaa CA / B-foorumin perustason vaatimusten osioon 7.1, jossa todetaan:
"30. syyskuuta 2016 alkaen varmentajien on PIDETTÄ luoda ei-peräkkäisiä yli 0 nollan (64) varmenteen sarjanumeroita, jotka sisältävät vähintään XNUMX bittiä lähtöä CSPRNG: ltä."
CSPRNG on lyhenne sanoista "kryptografisesti turvallinen näennäissatunnaislukugeneraattori", ja sitä käytetään luomaan riittävän satunnaislukuja (tai "entropiaa") sisältäviä numeroita, jotta taataan niiden turvallisuus ja ainutlaatuisuus. Menetelmä, jonka EJBCA päätti käyttää sarjanumeroiden luomisessa, asettaa alkuperäisen bitin automaattisesti nollaksi - mikä tarkoittaa, että 64-bittisessä merkkijonossa sarjanumero sisältää vain 63 bittiä lähtöä CSPRNG: ltä.
Tämän ongelman todelliset vaikutukset turvallisuuteen ovat häviävän pienet, mutta vaikka 63 ja 64 bitin entropian välinen ero ei vaaranna Internetin käyttäjiä, se on silti vastoin vaatimuksia, joita SSL.com ja kaikki muut hyvämaineiset Varmentajat havaitsevat. Siksi SSL.com peruuttaa kaikki vaikuttavat varmenteet ja myöntää korvaavat varmenteet kaikille asiakkaille, joita asia koskee.
Korvaavat varmenteet ovat samantyyppisiä kuin peruutetut, ja ne sisältävät samat DNS-nimet. Lisäksi näiden korvaavien todistusten voimassaoloaika on koko kesto alkuperäisestä ostetusta sertifikaatista. Tämä tarkoittaa, että vaikka olet ostanut yhden vuoden sertifikaatin neljä kuukautta sitten, uusi korvaava sertifikaatti on voimassa koko vuoden myöntämispäivästä, jolloin sinulla on yhteensä 16 kuukautta.
Lopuksi, tämä asia koskee vain SSLL: n SSL: ään /TLS sertifikaatit (Basic, Premium, High Assurance, Enterprise EV, Wildcard ja Multi-domain). Muun tyyppiset sertifikaatit, mukaan lukien S/MIME, NAESB ja koodien allekirjoittaminen eivät vaikuta millään tavalla.
