en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

常见问题:我听到的“序列号熵”问题是什么?

您可能已经看到有关影响多个证书颁发机构(包括Apple,Google,GoDaddy和(不幸的是)SSL.com)的问题的报告。 这些公司中的大多数将名为EJBCA(企业Java Bean证书颁发机构)的程序用于一系列CA活动。 正如SSL.com的安全架构总监Fotis Loukos指出的那样:

“ EJBCA的序列号生成方法导致预期行为与实际行为和输出之间存在差异,因此任何使用具有默认设置的EJBCA的CA都会遇到此问题(因此违反了BR 7.1)。”

“ BR 7.1”是指CA / B论坛基准要求的第7.1节,其中指出:

“自30年2016月0日起,CA将生成大于零(64)的非顺序证书序列号,该序列号至少包含CSPRNG输出的XNUMX位。”

CSPRNG是“加密安全的伪随机数生成器”的缩写,是一种用于生成具有足够随机性(或“熵”)的数字以确保其安全性和唯一性的机制。 EJBCA在生成序列号时选择使用的方法,但是会自动将初始位设置为零,这意味着在64位长的字符串中,序列号将仅包含来自CSPRNG的63位输出。

这个问题对安全性的实际影响很小,但是即使63位和64位熵之间的差异不会使Internet用户面临风险,它仍然违反SSL.com和所有其他享有盛誉的要求CA遵守。 这就是SSL.com吊销所有受影响的证书并为所有受影响的客户颁发替换证书的原因。

替换证书的类型与被撤销证书的类型相同,并且将包含相同的DNS名称。 此外,这些替换证书的有效期为 全程 原始购买的证书。 这意味着,即使您在四个月前购买了一年期证书,您的新替代证书也将自颁发之日起有效期为整整一年,总共为16个月。

最后,这个问题适用 仅由 到SSL.com的SSL /TLS 证书(基本,高级,高保证,企业EV,通配符和多域)。 其他类型的证书,包括 S/MIME,NAESB和代码签名不会受到任何影响。

感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。 您还可以在我们的网站上找到许多常见支持问题的答案 知识库.

相关常见问题

关注我们的媒体平台

什么是SSL /TLS?

播放视频

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新