Причиной проблемы стала некорректная настройка компаниями центра сертификации EJBCA (Enterprise Java Beans Certificate Authority), используемого многими удостоверяющими центрами для генерирования сертификатов. По умолчанию EJBCA генерирует сертификаты с серийными номерами, содержащими 64 бита в соответствии с базовыми требованиями, указанными в руководстве CA/Browser Forum «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates» («Базовые требования для выдачи и управления доверенными сертификатами»). Однако из-за ошибки генерировались сертификаты с серийными номерами в 63 бита, что является нарушением отраслевых стандартов.
Хотя некорректные сертификаты не представляют особый риск с точки зрения безопасности, проблема может обернуться головной болью для большого количества организаций, считают эксперты. Замена одного цифрового сертификата занимает несколько часов и многие предприятия не имеют автоматизированной системы, позволяющей заменить большое число сертификатов. Более того, замена сертификата непрофессионалом может привести к появлению новых уязвимостей или сказаться на операциях компании.
По словам представителей GoDaddy, компания выпустила около 300 тыс. некорректных сертификатов, в Apple назвали цифру 878 тыс. сертификатов (из них 558 тыс. все еще действительны), а в Google сообщили, что с 2016 года техногигант выпустил более 100 тыс. сертификатов, но на данный момент только 7,1 тыс. остаются действительными. В настоящее время Apple и Google находятся в процессе отзыва сертификатов, по словам представителей GoDaddy, компания отзовет все сертификаты в течение следующих 30 дней.