Apple, Google, GoDaddy ve (maalesef) SSL.com dahil olmak üzere birden çok sertifika yetkilisini etkileyen bir sorunla ilgili raporlar görmüş olabilirsiniz. Bu şirketlerin çoğu, bir dizi CA etkinliği için EJBCA (Enterprise Java Beans Certificate Authority) adlı bir program kullanıyor. SSL.com Güvenlik Mimarisi Direktörü Fotis Loukos'un belirttiği gibi:
"EJBCA'nın seri numaraları oluşturma yöntemi, beklenen ve gerçek davranış ve çıktı arasında bir tutarsızlığa yol açtı, öyle ki EJBCA'yı varsayılan ayarlarla kullanan herhangi bir CA bu sorunla karşılaşacak (ve bu nedenle BR 7.1'i ihlal edecek)."
"BR 7.1", CA / B Forumu Temel Gereksinimleri Bölüm 7.1'e atıfta bulunur ve şunları belirtir:
"30 Eylül 2016'dan itibaren CA'lar, bir CSPRNG'den en az 0 bit çıktı içeren, sıfırdan (64) büyük, sıralı olmayan Sertifika seri numaraları oluşturacaktır."
CSPRNG, "kriptografik olarak güvenli sözde rasgele sayı üreteci" nin kısaltmasıdır ve güvenli ve benzersiz olmalarını garanti etmek için yeterli rasgeleliğe (veya "entropi") sahip sayılar üretmek için kullanılan mekanizmadır. EJBCA'nın seri numaraları oluştururken kullanmayı seçtiği yöntem, bununla birlikte, başlangıç bitini otomatik olarak sıfıra ayarlar - bu, 64 bit uzunluğundaki bir dizide, seri numarasının CSPRNG'den yalnızca 63 bitlik çıktı içereceği anlamına gelir.
Bu konunun güvenlik üzerindeki gerçek dünyadaki etkisi kaybolacak kadar küçüktür, ancak 63 ve 64 bitlik entropi arasındaki fark İnternet kullanıcılarını riske atmasa bile, SSL.com ve diğer tüm saygın gereksinimleri ihlal etmektedir. CA'lar gözlemler. Bu nedenle SSL.com, etkilenen tüm sertifikaları iptal ediyor ve etkilenen tüm müşteriler için yedek sertifikalar veriyor.
Değiştirilen sertifikalar iptal edilenlerle aynı türde olacaktır ve aynı DNS adlarını içerecektir. Ayrıca, bu değiştirme sertifikalarının ömrü, tam süre satın alınan orijinal sertifikanın. Bu, dört ay önce bir yıllık sertifika satın almış olsanız bile, yeni değiştirme sertifikanızın verildiği tarihten itibaren bir yıl boyunca geçerli olacağı ve size toplam 16 ay vereceği anlamına gelir.
Son olarak, bu sorun geçerlidir bir tek SSL.com'un SSL'sine /TLS sertifikalar (Temel, Premium, Yüksek Güvence, Kurumsal EV, Joker ve Çoklu Alan). Aşağıdakiler de dahil olmak üzere diğer sertifika türleri S/MIME, NAESB ve kod imzalama hiçbir şekilde etkilenmez.
