В одной из лекций упоминается про то, что встроенный в Windows Server сервис Certification Authority (AD CS) формирует некорректные, с точки зрения стандартов и современных рекомендаций, сертификаты с предсказуемым идентификатором. Так ли это? И с чем это связано?
Всё так. В рекомендациях CA-Browser Forum – отраслевой некоммерческой организациии, объединяющей крупные Certification Authority и вырабатывающей стандарты и соглашения – чётко сказано:
7.1. CERTIFICATE PROFILE Effective September 30, 2016, CAs SHALL generate non‐sequential Certificate serial numbers greater than zero (0) containing at least 64 bits of output from a CSPRNG (оригинал, сохранённая копия)
Конечно, SHALL – это не MUST, но по факту Certification Authority в Windows Server выдаёт подряд идущие serial numbers, в которых никакими 64мя битами энтропии и не пахнет. То есть на текущий момент, февраль 2017 года, даже самый последний серверный продукт, Windows Server 2016, категорически не удовлетворяет рекомендациям профильной организации.
