摘要: 错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书, 工程...
错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书,
工程师发现 64 位中必须有一个定值才能确保序列号是正整数,这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。
63位 和 64 位虽然只相差一位,但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的,实际上几乎不可能被恶意利用。但这不符合行业规定的要求。
Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书,不过到目前只有 7000 个证书还有效。
*来源:solidot.org
