全世界遭殃：GoDaddy、蘋果和谷歌誤頒發100多萬份證書

擁有63位序列號的證書引發了大規模撤銷風潮。

GoDaddy、蘋果和谷歌的一次嚴重操作錯誤導致至少頒發了100萬份瀏覽器信任的數字證書，這些證書不符合有約束力的行業要求。不合格證書的數量可能是該數量的兩倍，其他瀏覽器信任的證書管理機構也可能受到了影響。

這個失誤歸咎於上述幾家公司對開源EJBCA套裝軟體配置不當，許多瀏覽器信任的證書管理機構用該套裝軟體生成確保網站安全、加密電子郵件和數字簽名代碼的證書。默認情況下，EJBCA生成擁有64位序列號的證書，以符合這個行業要求：序列號包含來自安全的偽隨機數生成器的64位輸出。工程師們進一步仔細檢查後發現，64位中的1位必須是固定值，以確保序列號是正整數。因此，EJBCA默認生成擁有63位熵（entropy）的序列號。

63位與所需的64位相差甚遠，因此對整個生態系統構成了理論上不可接受的風險。 （實際上，證書幾乎沒有被惡意利用的可能性，稍後有詳細介紹。）安全研究人員Adam Caudill上周末在博文中介紹了這起大規模誤頒發事件；他指出，面對這麽大的數字，很容易認為僅僅相差1位似乎無關緊要。他表示，實際上，263和264之間相差的不止900億億。

公共可信證書的基本要求的第7.1條明確規定，序列號的最小閾值必須不小於64位熵。頒布此要求的2016年投票提到了2008年的一次概念驗證攻擊：研究人員使用大批PlayStation遊戲機用MD5哈希算法生成加密衝突，實際上成為一家非授權的證書管理機構，可以隨意生成瀏覽器信任的證書。2012年，一種名為Flame的政府撐腰的惡意軟體採用了類似的手法來劫持微軟廣泛使用的Windows更新機制。

幾乎沒有被利用的機會

話雖如此，儘管誤頒發的證書存在諸多缺點，但它們不合規的熵被利用的可能性微乎其微。現在證書使用SHA256來生成，這種現代算法沒有MD5的已知安全漏洞。確切地說，要求64位更多地出於防範未來幾十年內可能發現的新攻擊這層考慮。

這意味著，雖然撤銷和重新頒發100萬份到200萬份證書（本文發稿時，研究人員仍在為確切的數字而爭論）是重大任務，但這個錯誤幾乎不構成任何安全威脅。

Caudill告訴IT外媒Ars Technica：“對於證書管理機構及其客戶來說，這事關重大。更換大批證書帶來巨大的影響。不過從威脅的角度來看，這不會被人利用。那需要密碼學方面取得重大突破；即便那樣，63位熵還是提供了巨大的安全保障。這之所以是個問題，是由於它給許多人和公司帶來了影響；黑客不會因此而開始偽造證書。”

在討論這個問題的在線論壇上，GoDaddy的一名工作人員最初表示，他公司頒發了180多萬份不符合64位要求的證書。按照行業規定，GoDaddy有五天的時間來撤銷證書，但GoDaddy表示無法對確認有問題的所有證書限定這個截止日期。

“在接下來的30天內”

GoDaddy的SSL/PKI安全產品高級主管Daymion Reynolds寫道：“我們的目標是在接下來的30天內重新頒發所有證書。我們已啟動了撤銷程序。我們有大量的客戶使用手動方法來管理其證書，因此對他們來說做到敏捷靈活很難。我們希望客戶在整個撤銷過程中使用https。由於證書數量龐大、加上這個問題不嚴重，我們計劃以負責任的方式來撤銷證書。”

在周二公布的最新消息中Reynolds將誤頒發證書的估計數修整為約12000份，另有273784份“孤兒”證書（這意味著這類證書因包括請求者取消和系統錯誤在內的原因而在頒布過程中被終止）。Reynolds表示，最初之所以估計有180多萬份證書，是基於一項“過於激進的標準。”Caudill及其他研究人員要求Reynolds在接受修整後的數字之前提供更多的細節。

蘋果的工作人員表示，他公司頒發的不合規證書總數約878000份，不過截至上周四仍然有效，未過期且未被撤銷的證書數量約558000份。與此同時，谷歌的工作人員估計該公司自2016年以來共頒發了100000多份不合格證書，不過截至上月底，只有其中約7100份證書仍然有效。

蘋果和谷歌都使用其公開可信的機構來頒發證書，供內部和附屬組織使用。Caudill表示，另外的證書管理機構也可能受到了影響。

蘋果的代表表示該公司已采取以下步驟：

停止頒發擁有不合規序列號的證書，繼續與用戶合作、撤銷受影響的證書。

對軟體進行配置，以生成擁有16個八位組（octet）的序列號，確保熵大於64位。

恢復警報機制，用於檢測被懷疑長度不足的序列號。

經過改進的驗證器軟體，檢查證書是否符合SSL基本要求，以評估證書集合而不是評估單個證書。這些功能上的改進預計會在2019年4月30日之前落實到位。