en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

FAQ: Vad är problemet med "serienummer entropi" jag hör om?

Du kanske har sett rapporter om ett problem som påverkar flera certifikatmyndigheter, inklusive Apple, Google, GoDaddy och (tyvärr) SSL.com. De flesta av dessa företag använder ett program som heter EJBCA (Enterprise Java Beans Certificate Authority) för en rad CA-aktiviteter. Som SSL.coms chef för säkerhetsarkitektur Fotis Loukos har noterat:

"EJBCAs metod för att generera serienummer har lett till en avvikelse mellan förväntat och faktiskt beteende och utdata, så att alla CA som använder EJBCA med standardinställningarna kommer att stöta på detta problem (och bryter därför mot BR 7.1)."

”BR 7.1” hänvisar till avsnitt 7.1 i CA / B-forumets baslinjekrav, som säger:

"Från och med den 30 september 2016 SKAL CA: er generera icke-sekventiella certifikatserienummer större än noll (0) som innehåller minst 64 bitar utdata från en CSPRNG."

CSPRNG är en förkortning för "kryptografiskt säker pseudoslumpgenerator" och är den mekanism som används för att generera nummer med tillräcklig slumpmässighet (eller "entropi") för att garantera att de är säkra och unika. Metoden EJBCA valde att använda vid generering av serienummer sätter emellertid den initiala biten automatiskt till noll - vilket innebär att serienumret i en 64-bitars lång sträng bara innehåller 63 bitar utdata från CSPRNG.

Den verkliga påverkan av denna fråga på säkerheten är försvinnande liten, men även om skillnaden mellan 63 och 64 bitar entropi inte riskerar internetanvändare är det fortfarande ett brott mot kraven som SSL.com och alla andra ansedda CA: s observerar. Det är därför SSL.com återkallar alla påverkade certifikat och utfärdar ersättningscertifikat för alla berörda kunder.

Ersättningscertifikaten kommer att vara av samma typ som de återkallade och kommer att innehålla samma DNS-namn. Dessutom kommer livslängden för dessa ersättningsintyg att vara av full varaktighet av det ursprungligen köpta certifikatet. Det betyder att även om du köpte ett ettårigt certifikat för fyra månader sedan kommer ditt nya ersättningscertifikat att gälla i ett helt år från utgivningsdatumet, vilket ger dig totalt 16 månader.

Slutligen gäller denna fråga endast till SSL.coms SSL /TLS certifikat (Basic, Premium, High Assurance, Enterprise EV, Wildcard och Multi-domain). Andra typer av certifikat, inklusive S/MIME, NAESB och kodsignering påverkas inte på något sätt.

Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Relaterade vanliga frågor

Följ oss

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com