Câu hỏi thường gặp: Vấn đề “entropy số sê-ri” mà tôi đang nghe nói đến là gì?

SSL.com sẽ phát hành SSL thay thế /TLS giấy chứng nhận cho những người bị ảnh hưởng bởi vấn đề entropy số sê-ri của EJBCA.

Nội dung liên quan

Bạn muốn tiếp tục học hỏi?

Đăng ký nhận bản tin của SSL.com, luôn cập nhật thông tin và bảo mật.

Sao chép liên kết bài viết

Bạn có thể đã thấy các báo cáo về một vấn đề ảnh hưởng đến nhiều tổ chức phát hành chứng chỉ, bao gồm Apple, Google, GoDaddy và (không may) SSL.com. Hầu hết các công ty này sử dụng một chương trình gọi là EJBCA (Cơ quan cấp chứng chỉ đậu cho doanh nghiệp Java) cho một loạt các hoạt động CA. Như Giám đốc Kiến trúc Bảo mật của SSL.com, Fotis Loukos đã lưu ý:

“Phương pháp tạo số sê-ri của EJBCA đã dẫn đến sự khác biệt giữa hành vi và đầu ra dự kiến ​​và thực tế, do đó bất kỳ CA nào sử dụng EJBCA với cài đặt mặc định sẽ gặp phải vấn đề này (và do đó vi phạm BR 7.1).”

“BR 7.1” đề cập đến Phần 7.1 của Yêu cầu cơ bản của Diễn đàn CA / B, trong đó nêu rõ:

“Có hiệu lực từ ngày 30 tháng 2016 năm 0, CA SẼ tạo số sê-ri Chứng chỉ không tuần tự lớn hơn không (64) chứa ít nhất XNUMX bit đầu ra từ CSPRNG.”

CSPRNG là viết tắt của “bộ tạo số giả ngẫu nhiên an toàn bằng mật mã” và là cơ chế được sử dụng để tạo ra các số có đủ độ ngẫu nhiên (hoặc “entropy”) để đảm bảo chúng an toàn và duy nhất. Tuy nhiên, phương pháp mà EJBCA chọn sử dụng khi tạo số sê-ri, tự động đặt bit ban đầu thành 64 - có nghĩa là trong một chuỗi dài 63 bit, số sê-ri sẽ chỉ chứa XNUMX bit đầu ra từ CSPRNG.

Tác động thực tế của vấn đề này đối với bảo mật là rất nhỏ, nhưng ngay cả khi sự khác biệt giữa 63 và 64 bit của entropy không khiến người dùng Internet gặp rủi ro thì nó vẫn vi phạm các yêu cầu mà SSL.com và tất cả các danh tiếng khác Các CA quan sát. Đây là lý do tại sao SSL.com thu hồi tất cả các chứng chỉ bị ảnh hưởng và cấp chứng chỉ thay thế cho tất cả các khách hàng bị ảnh hưởng.

Các chứng chỉ thay thế sẽ cùng loại với các chứng chỉ bị thu hồi và sẽ chứa cùng tên DNS. Hơn nữa, tuổi thọ của các chứng chỉ thay thế này sẽ là của toàn bộ thời lượng của chứng chỉ mua ban đầu. Điều đó có nghĩa là ngay cả khi bạn đã mua chứng chỉ một năm bốn tháng trước, chứng chỉ thay thế mới của bạn sẽ có hiệu lực trong cả năm kể từ ngày cấp, cho bạn tổng cộng 16 tháng.

Cuối cùng, vấn đề này được áp dụng có thể sang SSL của SSL.com /TLS chứng chỉ (Cơ bản, Cao cấp, Đảm bảo cao, Enterprise EV, Wildcard và Đa miền). Các loại chứng chỉ khác, bao gồm S/MIME, NAESB và ký mã, không bị ảnh hưởng dưới bất kỳ hình thức nào.

Cảm ơn bạn đã chọn SSL.com! Nếu bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với chúng tôi qua email theo địa chỉ Support@SSL.com, gọi 1-877-SSL-SECUREhoặc chỉ cần nhấp vào liên kết trò chuyện ở dưới cùng bên phải của trang này. Bạn cũng có thể tìm thấy câu trả lời cho nhiều câu hỏi hỗ trợ phổ biến trong kiến thức cơ bản.

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.

Tham gia khảo sát