Lehet, hogy jelentéseket látott egy olyan problémáról, amely több tanúsító hatóságot is érint, beleértve az Apple-t, a Google-t, a GoDaddy-t és (sajnos) az SSL.com-t. Ezeknek a vállalatoknak a többsége az EJBCA (Enterprise Java Beans Certificate Authority) nevű programot használja a CA számos tevékenységéhez. Mint azt SSL biztonsági építészeti igazgatója, Fotis Loukos megjegyezte:
"Az EJBCA sorozatszám előállításának módszere eltéréshez vezetett a várható és a tényleges viselkedés és a kimenet között, így minden olyan CA, amely az EJBCA-t használja az alapértelmezett beállításokkal, találkozik ezzel a problémával (és ezért sérti a BR 7.1-et)."
A „BR 7.1” a CA / B fórum alapkövetelményeinek 7.1. Szakaszára utal, amely kimondja:
"30. szeptember 2016-tól a hitelesítésszolgáltatóknak NEM (0) -nál nagyobb nem szekvenciális tanúsítványsorozatokat kell létrehozniuk, amelyek legalább 64 bit kimenetet tartalmaznak egy CSPRNG-től."
A CSPRNG a „kriptográfiailag biztonságos ál-véletlenszám-generátor” rövidítése, és ez az a mechanizmus, amelyet elegendő véletlenszerűséggel (vagy „entrópiával”) készítenek a számok biztonságos és egyedi garantálásához. Az a módszer, amelyet az EJBCA a sorozatszámok előállításakor választott, automatikusan a nullára állítja a kezdeti bitet - ami azt jelenti, hogy egy 64 bites hosszú karakterláncban a sorozatszám csak 63 bit kimenetet tartalmaz a CSPRNG-től.
Ennek a kérdésnek a biztonságra gyakorolt valós hatása elenyészően kicsi, de még ha a 63 és 64 bit entrópia közötti különbség sem veszélyezteti az internetfelhasználókat, akkor is sérti az SSL.com és minden más jó hírű követelményt A CA-k megfigyelik. Ezért az SSL.com visszavon minden érintett tanúsítványt, és helyettesítő tanúsítványokat állít ki az összes érintett ügyfél számára.
A csere tanúsítványok ugyanolyan típusúak lesznek, mint a visszavont, és ugyanazokat a DNS-neveket tartalmazzák. Ezen felül a csere tanúsítványok élettartama a következő lesz: teljes időtartam az eredetileg vásárolt tanúsítványt. Ez azt jelenti, hogy még ha négy hónappal ezelőtt is vásárolt egyéves igazolást, az új cserebizonyítvány a kiállításától számított teljes évig érvényes lesz, így összesen 16 hónap lesz.
Végül ez a kérdés érvényes csak az SSL.com SSL-jéhez /TLS tanúsítványok (Basic, Premium, High Assurance, Enterprise EV, helyettesítő és több domain). Más típusú tanúsítványok, ideértve a S/MIME, A NAESB és a kód aláírást semmilyen módon nem érinti.
