DigiCert отзывает 23 тысячи SSL-сертификатов: в чем причина

[Gasaraki]

В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей.

Вы плохо разбираетесь в выдаче сертификатов. Как раз при выдаче сертификатов по CSR у центра сертификации не будет ваших закрытых ключей.

Trustico просто предоставлял сервис «для ленивых» сразу с генерацией закрытого ключа, генерацией csr по ключу и сразу же выдачей сертификата по csr. И они высылали клиенту и сертификат и закрытый ключ.

[mediaman]

Как сказали (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/) представители Trustico в своем письме — они хранили ключи в холодном хранилище на случай аннулирования. Вот только такие ключи реселлер хранить не может, особенно без ведома пользователей (подробнее: www.zdnet.com/article/trustico-compromises-own-customers-https-private-keys-in-spat-with-partner)

[tbp2k5]

Приватный ключ никаким образом не может казаться за пределами защищенных хранилищ клиента. То-есть сертификат скомпрометирован с того момента как приватный ключ утекает куда-либо в том числе и к компании которая подписывает ваш публичный ключ.

[ggo]

И что весьма печалит, компания, пытаясь заработать репутацию на ИТ-ресурсе, публикует в переводах местами, прямо скажем, ахинею. Не отдав на вычитку профессионалам. В итоге — репутация только падает.

[Jon7]

Ранее, немного подробнее об этой уязвимости сообщали http://mobile.opennet.ru/opennews/art.shtml?num=48176

[fRoStBiT]

Интересно, как же так получилось, что 23 тыс. компаний раскрывали другой фирме свой приватный ключ. Это же противоречит основам построения PKI!
Мне кажется, к их сотрудникам (ответственным за получение сертификатов) должно быть не меньше вопросов, чем к Trustico.

[khim]

Справка. Больше половины компаний в США имеют менее 5 (прописью: пяти) сотрудников. Это всех. Включая «гендиректора и уборщицу» (на самом деле там, конечно, не отдельной должности уборщицы).

Как вы думаете, много у «сотрудников отвественных за получение PKI» знаний о PKI при том, что всего этих компаний — свыше трёх миллионов!

Ну думаейте же о чём пишите, честное слово!

[Pilat]

Когда я прошу прислать мне публичный ключ для выдачи доступа по SSH, мне в половине случаев приходит по почте и приватный. И чем дальше тем проблема острее, так как инфраструктура непрерывно усложняется.