https://opennet.ru/openforum/vsluhforumID3/116829.html Проблемы (https://adamcaudill.com/2019/03/09/tls-64bit-ish-serial-numbers-mass-revocation/) с энтропией в открытом инструментарии для удостоверяющих центрах EJBCA (https://www.ejbca.org/) привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com. <br><br><br><br>Проблема связана (https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/nnLVNfqgz7g/6I1et_O9BQAJ) с использованием при формирования серийных номеров для сертификатов генератора случайных чисел, выдающем 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования (https://cabforum.org/baseline-requirements-documents/), регламентирующие деятельность удостоверяющих центров, предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене. <br> https://opennet.ru/openforum/vsluhforumID3/116829.html#46 Sat, 16 Mar 2019 09:40:56 GMT Между 18 квинтиллионами и 9 квинтиллионами разница 9 квинтиллионов :)<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#45 Fri, 15 Mar 2019 18:19:14 GMT Entropy - heartless bitch.<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#44 Fri, 15 Mar 2019 16:09:10 GMT не припомню, чтоб где-либо звучало "битов" когда-либо <br> https://opennet.ru/openforum/vsluhforumID3/116829.html#43 Fri, 15 Mar 2019 09:37:41 GMT &gt;&gt;Снижение числа бит<br><br>Может, всё-таки битов? Это же не о бейсболе статья.<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#42 Fri, 15 Mar 2019 08:47:23 GMT &gt; принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA<br><br>Т.е. по Вашему, это нормально, что "принудительно очищается старший бит" при "приведении значения к положительному целому числу" и потому надо указывать в настройках 65 бит, вместо 64? Ну возможно... Но тогда эта "особенность" должна быть указана в документации.<br><br>"Документированный баг &#8212; это фича" ©<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#41 Fri, 15 Mar 2019 07:16:16 GMT unsigned типы - это зло! Ну да...<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#40 Fri, 15 Mar 2019 04:23:35 GMT &gt; аноним, выступающий против шифрования? Серьезно?<br><br>человек, на открытом форуме на сайте размещенном в подконтрольном товарищмайору ящике, после того как предъявил свой паспорт провайдеру для оформления подключения, что-то там топит за "шифрование"? Серьезней некуда, это, скорее всего, неизлечимо.<br><br> https://opennet.ru/openforum/vsluhforumID3/116829.html#39 Fri, 15 Mar 2019 02:37:48 GMT Вот тебе как раз яркий пример того, что Let's Encrypt как раз не хипстерский, а очень даже нормуль.<br> https://opennet.ru/openforum/vsluhforumID3/116829.html#38 Thu, 14 Mar 2019 22:43:49 GMT &gt; ну меньше там немножко энтропии, но отзывать то зачем!?<br><br>Ну как зачем - впихнуть новые дыры. А заодно отсеять тех, кто не заплатил.<br>Неужели вы и правда подумали, что ИХ беспокоит ВАША безопасность?<br>