DigiCert отзывает 23 тысячи SSL-сертификатов: в чем причина

    1 марта клиенты реселлера SSL-сертификатов Trustico узнали, что 23 тыс. сертификатов будут аннулированы в течение суток. Отзыв инициировал центр сертификации DigiCert — это было сделано потому, что в распоряжении Trustico оказались закрытые SSL-ключи клиентов.

    Подробнее о том, что случилось, расскажем далее.


    / Pexels / Skitterphoto / CC

    Действующие лица


    Trustico продает сертификаты Symantec, GeoTrust, Thawte и RapidSSL. Ранее всеми этими сертификатами управлял Symantec, однако с 1 декабря 2017 года за работу с ними отвечает CA DigiCert. В прошлом году Google запустили процедуру прекращения доверия к сертификатам, выданным с использованием старой инфраструктуры Symantec, из-за того, что в компании не смогли обеспечить должный контроль за соблюдением стандартов обслуживания.

    В результате Symantec решили продать сертификационный бизнес компании DigiCert, чтобы «восстановить доверие» и соблюсти требования Google, — об этом мы рассказывали ранее.

    Ситуация с Trustico


    28 февраля Trustico потребовал у DigiCert аннулировать сертификаты Symantec из-за их компрометации. Когда в DigiCert попросили предоставить подробности, представители Trustico просто выслали им по электронной почте 23 тыс. закрытых ключей сертификатов клиентов.

    В результате у DigiCert не осталось выбора — центр запустил процесс отзыва сертификатов, отправив уведомление каждому владельцу сертификата, секретные ключи которых фигурировали в письме Trustico. При этом в DigiCert отмечают, что процедура аннулирования сертификатов никак не связана с прекращением доверия Google и Mozilla, которая должна начаться 15 марта.

    Откуда взялись SSL-ключи


    Начало истории было положено еще в первой половине февраля. Тогда Trustico попросили DigiCert отозвать сразу 50 тыс. Сертификатов, якобы они были скомпрометированы. Центр сертификации не стал этого делать — у реселлера не было подтверждающих аргументов.

    Немного позже на сайте Trustico появилась информация об отказе от SSL-сертификатов Symantec, GeoTrust, Thawte и RapidSSL. Тогда глава Trustico Зейн Лукас (Zane Lucas) и отправил вице-президенту DigiCert Джереми Роули (Jeremy Rowley) копии секретных ключей по электронной почте в качестве подтверждения компрометации. По словам Роули, сперва в Trustico не раскрыли, откуда взялись эти секретные ключи. Однако позже Зейн сделал заявление, из которого стало понятно, что ключи держатся у Trustico в «холодном хранилище».

    В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей. При этом пользователи Trustico не знали о том, что их ключи доступны кому-то еще, в том числе генеральному директору компании.


    / Flickr / Jeremy Segrott / CC

    Реакция сообщества и последствия


    Подобное поведение Trustico породило мнение, что в компании специально скомпрометировали ключи, чтобы запустить процедуру отзыва SSL/TLS-сертификатов Symantec и начать заниматься другими продуктами. Подтверждает это и тот факт, что до инцидента Trustico начали продавать сертификаты конкурента DigiCert — Comodo.

    Также беспокойство сообщества вызвал сам факт пересылки ключей по электронной почте. Так как неизвестно, был ли канал, по которым передавались сообщения, защищенным. Поэтому не удивительно, что на инфраструктуру реселлера обратили внимание специалисты по информационной безопасности.

    И проблемы в работе сервиса были найдены. Один из пользователей Twitter опубликовал информацию о критической уязвимости Trustico. Правда, это привело к тому, что сайт реселлера на какое-то время был выведен из строя.


    На сайте компании имелся инструмент, который позволял владельцам сайтов проверять корректность установки сертификатов. И он содержал ошибку. Благодаря ей в форму проверки можно было внедрить свои команды и выполнить на серверах Trustico вредоносный код с root-правами. При этом, как утверждает сам исследователь, проблема была известна довольно давно, так как всю информацию он нашел в открытых источниках в интернете.

    Сейчас Trustico грозят проблемы юридического характера. Пользователи Twitter отмечают, что Trustico обслуживает ряд крупных клиентов, в том числе одно из основных кредитных бюро в США Equifax. А репутационные проблемы из-за всех вопросов к этой ситуации и неоднозначных действий руководства могут стоить реселлеру крупных заказов.

    Материалы по теме из блога 1cloud:

    1cloud.ru
    249,00
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 8

      –1
      В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей.


      Вы плохо разбираетесь в выдаче сертификатов. Как раз при выдаче сертификатов по CSR у центра сертификации не будет ваших закрытых ключей.

      Trustico просто предоставлял сервис «для ленивых» сразу с генерацией закрытого ключа, генерацией csr по ключу и сразу же выдачей сертификата по csr. И они высылали клиенту и сертификат и закрытый ключ.
        0
        Как сказали (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/) представители Trustico в своем письме — они хранили ключи в холодном хранилище на случай аннулирования. Вот только такие ключи реселлер хранить не может, особенно без ведома пользователей (подробнее: www.zdnet.com/article/trustico-compromises-own-customers-https-private-keys-in-spat-with-partner)
          +1
          Приватный ключ никаким образом не может казаться за пределами защищенных хранилищ клиента. То-есть сертификат скомпрометирован с того момента как приватный ключ утекает куда-либо в том числе и к компании которая подписывает ваш публичный ключ.
          0
          И что весьма печалит, компания, пытаясь заработать репутацию на ИТ-ресурсе, публикует в переводах местами, прямо скажем, ахинею. Не отдав на вычитку профессионалам. В итоге — репутация только падает.
          0

          Ранее, немного подробнее об этой уязвимости сообщали http://mobile.opennet.ru/opennews/art.shtml?num=48176

            0

            Интересно, как же так получилось, что 23 тыс. компаний раскрывали другой фирме свой приватный ключ. Это же противоречит основам построения PKI!
            Мне кажется, к их сотрудникам (ответственным за получение сертификатов) должно быть не меньше вопросов, чем к Trustico.

              0
              Справка. Больше половины компаний в США имеют менее 5 (прописью: пяти) сотрудников. Это всех. Включая «гендиректора и уборщицу» (на самом деле там, конечно, не отдельной должности уборщицы).

              Как вы думаете, много у «сотрудников отвественных за получение PKI» знаний о PKI при том, что всего этих компаний — свыше трёх миллионов!

              Ну думаейте же о чём пишите, честное слово!
                +1

                Когда я прошу прислать мне публичный ключ для выдачи доступа по SSH, мне в половине случаев приходит по почте и приватный. И чем дальше тем проблема острее, так как инфраструктура непрерывно усложняется.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое