GoDaddy、苹果和 Google 被发现错误签发了一百多万 63 位序列号证书

错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书，在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书，工程师发现 64 位中必须有一个定值才能确保序列号是正整数，这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。 63 位 和 64 位虽然只相差一位，但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的，实际上几乎不可能被恶意利用。但这不符合行业规定的要求。Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书，不到目前只有 7000 个证书还有效。