全世界遭殃：GoDaddy、苹果和谷歌误颁发100多万份证书

2019 年 3 月 13 日 云头条

拥有63位序列号的证书引发了大规模撤销风潮。

GoDaddy、苹果和谷歌的一次严重操作错误导致至少颁发了100万份浏览器信任的数字证书，这些证书不符合有约束力的行业要求。不合格证书的数量可能是该数量的两倍，其他浏览器信任的证书管理机构也可能受到了影响。

这个失误归咎于上述几家公司对开源EJBCA软件包配置不当，许多浏览器信任的证书管理机构用该软件包生成确保网站安全、加密电子邮件和数字签名代码的证书。默认情况下，EJBCA生成拥有64位序列号的证书，以符合这个行业要求：序列号包含来自安全的伪随机数生成器的64位输出。工程师们进一步仔细检查后发现，64位中的1位必须是固定值，以确保序列号是正整数。因此，EJBCA默认生成拥有63位熵（entropy）的序列号。

63位与所需的64位相差甚远，因此对整个生态系统构成了理论上不可接受的风险。（实际上，证书几乎没有被恶意利用的可能性，稍后有详细介绍。）安全研究人员Adam Caudill上周末在博文中介绍了这起大规模误颁发事件；他指出，面对这么大的数字，很容易认为仅仅相差1位似乎无关紧要。他表示，实际上，263和264之间相差的不止900亿亿。

公共可信证书的基本要求的第7.1条明确规定，序列号的最小阈值必须不小于64位熵。颁布此要求的2016年投票提到了2008年的一次概念验证攻击：研究人员使用大批PlayStation游戏机用MD5哈希算法生成加密冲突，实际上成为一家非授权的证书管理机构，可以随意生成浏览器信任的证书。2012年，一种名为Flame的政府撑腰的恶意软件采用了类似的手法来劫持微软广泛使用的Windows更新机制。

几乎没有被利用的机会

话虽如此，尽管误颁发的证书存在诸多缺点，但它们不合规的熵被利用的可能性微乎其微。现在证书使用SHA256来生成，这种现代算法没有MD5的已知安全漏洞。确切地说，要求64位更多地出于防范未来几十年内可能发现的新攻击这层考虑。

这意味着，虽然撤销和重新颁发100万份到200万份证书（本文发稿时，研究人员仍在为确切的数字而争论）是重大任务，但这个错误几乎不构成任何安全威胁。

Caudill告诉IT外媒Ars Technica：“对于证书管理机构及其客户来说，这事关重大。更换大批证书带来巨大的影响。不过从威胁的角度来看，这不会被人利用。那需要密码学方面取得重大突破；即便那样，63位熵还是提供了巨大的安全保障。这之所以是个问题，是由于它给许多人和公司带来了影响；黑客不会因此而开始伪造证书。”

在讨论这个问题的在线论坛上，GoDaddy的一名工作人员最初表示，他公司颁发了180多万份不符合64位要求的证书。按照行业规定，GoDaddy有五天的时间来撤销证书，但GoDaddy表示无法对确认有问题的所有证书限定这个截止日期。

“在接下来的30天内”

GoDaddy的SSL/PKI安全产品高级主管Daymion Reynolds写道：“我们的目标是在接下来的30天内重新颁发所有证书。我们已启动了撤销程序。我们有大量的客户使用手动方法来管理其证书，因此对他们来说做到敏捷灵活很难。我们希望客户在整个撤销过程中使用https。由于证书数量庞大、加上这个问题不严重，我们计划以负责任的方式来撤销证书。”

在周二公布的最新消息中Reynolds将误颁发证书的估计数修整为约12000份，另有273784份“孤儿”证书（这意味着这类证书因包括请求者取消和系统错误在内的原因而在颁布过程中被终止）。Reynolds表示，最初之所以估计有180多万份证书，是基于一项“过于激进的标准。”Caudill及其他研究人员要求Reynolds在接受修整后的数字之前提供更多的细节。

苹果的工作人员表示，他公司颁发的不合规证书总数约878000份，不过截至上周四仍然有效，未过期且未被撤销的证书数量约558000份。与此同时，谷歌的工作人员估计该公司自2016年以来共颁发了100000多份不合格证书，不过截至上月底，只有其中约7100份证书仍然有效。

苹果和谷歌都使用其公开可信的机构来颁发证书，供内部和附属组织使用。Caudill表示，另外的证书管理机构也可能受到了影响。

苹果的代表表示该公司已采取以下步骤：