Вопрос-ответ: Про serial number’ы у сертификатов CA

Про serial number'ы у сертификатов, выдаваемых Windows Server AD CS

300300

В одной из лекций упоминается про то, что встроенный в Windows Server сервис Certification Authority (AD CS) формирует некорректные, с точки зрения стандартов и современных рекомендаций, сертификаты с предсказуемым идентификатором. Так ли это? И с чем это связано?

Всё так. В рекомендациях CA-Browser Forum – отраслевой некоммерческой организациии, объединяющей крупные Certification Authority и вырабатывающей стандарты и соглашения – чётко сказано:

7.1. CERTIFICATE PROFILE
Effective September 30, 2016, CAs SHALL generate non‐sequential Certificate serial numbers greater than zero (0) containing at least 64 bits of output from a CSPRNG
(оригинал, сохранённая копия)

Конечно, SHALL – это не MUST, но по факту Certification Authority в Windows Server выдаёт подряд идущие serial numbers, в которых никакими 64мя битами энтропии и не пахнет. То есть на текущий момент, февраль 2017 года, даже самый последний серверный продукт, Windows Server 2016, категорически не удовлетворяет рекомендациям профильной организации.