Comments 8
В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей.
Вы плохо разбираетесь в выдаче сертификатов. Как раз при выдаче сертификатов по CSR у центра сертификации не будет ваших закрытых ключей.
Trustico просто предоставлял сервис «для ленивых» сразу с генерацией закрытого ключа, генерацией csr по ключу и сразу же выдачей сертификата по csr. И они высылали клиенту и сертификат и закрытый ключ.
Как сказали (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/) представители Trustico в своем письме — они хранили ключи в холодном хранилище на случай аннулирования. Вот только такие ключи реселлер хранить не может, особенно без ведома пользователей (подробнее: www.zdnet.com/article/trustico-compromises-own-customers-https-private-keys-in-spat-with-partner)
И что весьма печалит, компания, пытаясь заработать репутацию на ИТ-ресурсе, публикует в переводах местами, прямо скажем, ахинею. Не отдав на вычитку профессионалам. В итоге — репутация только падает.
Ранее, немного подробнее об этой уязвимости сообщали http://mobile.opennet.ru/opennews/art.shtml?num=48176
Интересно, как же так получилось, что 23 тыс. компаний раскрывали другой фирме свой приватный ключ. Это же противоречит основам построения PKI!
Мне кажется, к их сотрудникам (ответственным за получение сертификатов) должно быть не меньше вопросов, чем к Trustico.
Справка. Больше половины компаний в США имеют менее 5 (прописью: пяти) сотрудников. Это всех. Включая «гендиректора и уборщицу» (на самом деле там, конечно, не отдельной должности уборщицы).
Как вы думаете, много у «сотрудников отвественных за получение PKI» знаний о PKI при том, что всего этих компаний — свыше трёх миллионов!
Ну думаейте же о чём пишите, честное слово!
Как вы думаете, много у «сотрудников отвественных за получение PKI» знаний о PKI при том, что всего этих компаний — свыше трёх миллионов!
Ну думаейте же о чём пишите, честное слово!
Когда я прошу прислать мне публичный ключ для выдачи доступа по SSH, мне в половине случаев приходит по почте и приватный. И чем дальше тем проблема острее, так как инфраструктура непрерывно усложняется.
Sign up to leave a comment.
DigiCert отзывает 23 тысячи SSL-сертификатов: в чем причина