Причиной проблемы стала некорректная настройка компаниями центра сертификации EJBCA.
GoDaddy, Apple и Google ошибочно выпустили более 1 миллиона цифровых сертификатов с серийными номерами, содержащими 63 бита вместо 64 бит, как того требуют нормы CA/Browser Forum для выпуска сертификатов. Теперь компании вынуждены отозвать не соответствующие стандартам отрасли сертификаты. В настоящее время неясно, какое число удостоверяющих центров (УЦ) коснулась проблема, поэтому не исключено, что количество некорректных сертификатов может быть значительно больше.
Причиной проблемы стала некорректная настройка компаниями центра сертификации EJBCA (Enterprise Java Beans Certificate Authority), используемого многими удостоверяющими центрами для генерирования сертификатов. По умолчанию EJBCA генерирует сертификаты с серийными номерами, содержащими 64 бита в соответствии с базовыми требованиями, указанными в руководстве CA/Browser Forum«Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates»(«Базовые требования для выдачи и управления доверенными сертификатами»). Однако из-за ошибки генерировались сертификаты с серийными номерами в 63 бита, что является нарушением отраслевых стандартов.
Хотя некорректные сертификаты не представляют особый риск с точки зрения безопасности, проблема может обернуться головной болью для большого количества организаций, считают эксперты. Замена одного цифрового сертификата занимает несколько часов и многие предприятия не имеют автоматизированной системы, позволяющей заменить большое число сертификатов. Более того, замена сертификата непрофессионалом может привести к появлению новых уязвимостей или сказаться на операциях компании.
По словам представителей GoDaddy, компания выпустила около 300 тыс. некорректных сертификатов, в Appleназвалицифру 878 тыс. сертификатов (из них 558 тыс. все еще действительны), а в Google сообщили, что с 2016 года техногигант выпустил более 100 тыс. сертификатов, но на данный момент только 7,1 тыс. остаются действительными. В настоящее время Apple и Google находятся в процессе отзыва сертификатов, по словам представителей GoDaddy, компания отзовет все сертификаты в течение следующих 30 дней.