FAQ: Hva er problemet "serienummer entropi" jeg hører om?

Du har kanskje sett rapporter om et problem som påvirker flere sertifikatmyndigheter, inkludert Apple, Google, GoDaddy og (dessverre) SSL.com. De fleste av disse selskapene bruker et program kalt EJBCA (Enterprise Java Beans Certificate Authority) for en rekke CA-aktiviteter. Som SSL.coms direktør for sikkerhetsarkitektur Fotis Loukos har bemerket:

"EJBCAs metode for å generere serienumre har ført til et avvik mellom forventet og faktisk oppførsel og utdata, slik at enhver CA som bruker EJBCA med standardinnstillingene, vil støte på dette problemet (og derfor bryter med BR 7.1)."

“BR 7.1” refererer til seksjon 7.1 i CA / B Forum Baseline Requirements, som sier:

“Fra 30. september 2016 SKAL CAer generere ikke-sekvensielle sertifikatens serienumre større enn null (0) som inneholder minst 64 bits utdata fra en CSPRNG.”

CSPRNG er en forkortelse for "kryptografisk sikker pseudo-tilfeldig tallgenerator" og er mekanismen som brukes til å generere tall med tilstrekkelig tilfeldighet (eller "entropi") for å garantere at de er sikre og unike. Metoden EJBCA valgte å bruke ved generering av serienumre, setter imidlertid den opprinnelige biten automatisk til null - noe som betyr at serienummeret i en 64 bit lang streng vil bare inneholde 63 bits utgang fra CSPRNG.

Virkningen av dette problemet på sikkerheten er forsvinnende liten, men selv om forskjellen mellom 63 og 64 bit entropi ikke setter internettbrukere i fare, er det fortsatt i strid med kravene som SSL.com og alle andre anerkjente. CAs observerer. Dette er grunnen til at SSL.com tilbakekaller alle berørte sertifikater og utsteder erstatningssertifikater for alle berørte kunder.

Erstatningsbevisene vil være av samme type som de tilbakekalte, og vil inneholde de samme DNS-navnene. Videre vil levetiden til disse erstatningsattestene være av full varighet av det opprinnelig kjøpte sertifikatet. Det betyr at selv om du kjøpte et års sertifikat for fire måneder siden, vil det nye erstatningsbeviset være gyldig i et helt år fra utstedelsesdatoen, og gi deg totalt 16 måneder.

Endelig gjelder dette problemet bare til SSL.coms SSL /TLS sertifikater (Basic, Premium, High Assurance, Enterprise EV, Wildcard og Multi-domain). Andre typer sertifikater, inkludert S/MIME, NAESB og kodesignering påvirkes ikke på noen måte.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.