Отзыв 50 тысяч сертификатов DigiCert

[Gutt]

Объясните мне, дремучему, как к CA попали приватные ключи клиентов? Приветный ключ всегда хранится на системе, на которой был сгенерирован, и никогда её не покидает (ну, разве что с бекапом, и то не всегда).

[dartraiden]

Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process.

Похоже, что и приватный ключ создавался на их стороне?

Get Your Certificate Signing Request (CSR) & Private Key
A Private Key is also created at the same time that you create the Certificate Signing Request (CSR)

[deksden]

Конечно сервис по «помощи» в генерации CSR — это прям отличный троянский конь нашего времени! Жесть. Я могу понять — клиенты не разбираются в Безопасности и особенностях всяких.

Но! Куда смотрели DigiCert? Откуда такое пренебрежение аудитом своих реселлеров — даже поверхностному?! Любой поставщик своих крупных дилеров знает и аудирует в той или иной степени.

[VulvarisMagistralis]

Это нормально.
Насильно мил не будешь.
Если клиент не разбирается — нужно предоставить ему вспомогательный инструмент.
Но при этом предупредить обязательно.
И предлагать 2 пути — надежный для опытных и не такой надежный с вспоможением

[alex_ter]

Давно нужно пересмотреть эту отрасль. В порядке вещей такая ситуация, что антивирус признает вредоносной программу, подписанную цифровой подписью. Более того EV цифровой подписью. Понять антивирусы можно, их задача — обезопасить пользователей. Однако, для вендоров это огромная головная боль. Все нужно подписывать и это не избавляет от ложных срабатываний. Получается что современные ЦП и сертификаты это формальность ради формальности. В рамках веб-технологий это, безусловно, и защита соединения, но не более того.

[KOLANICH]

В порядке вещей такая ситуация, что антивирус признает вредоносной программу, подписанную цифровой подписью. Более того EV цифровой подписью.

И правильно. Инцидент со стакснетом (когда малварь была подписана приватными ключами jmicron и realtek) это доказал.

[Karnah]

Да, но логично, что система защиты не должна стоить больше, чем защищаемая информация. Я понятия не имею, сколько стоило разработчикам вируса ключи jmicron и realtek, но подозреваю, что очень и очень много. Для рядовых пользователей этой защиты может оказаться более, чем достаточно.

[Busla]

Так одно с другим не связано :-)
Подпись подтверждает целостность файла, а не его безвредность.

[ksgr]

Ну если клиенты ленятся генерировать свой приватный ключ и подписывать сертификаты через CSR, то в общем то сами они навлекли на себя проблемы.

Ну а вообще конечно непонятно нахрен они вообще хранят эти ключи — ну сгенерировали ленивому клиенту, дали скачать и удаляй нахрен. Лишний головняк только.

[Sherd]

В оригинальной статье (по крайней мере в прессе, где прочитал), речь шла не совсем о DigiCert, а о подразделении Symantec, которое он недавно купил. У него были серьёзные проблемы с безопасностью, что Мозила и Хром на какое-то время убирали их корневой сертификат из доверенных.
Причём проблема вскрылась, когда СЕО реселлера переслал приватные ключи 23000 сертификатов по обычной почте. (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/). Веселая история.
Так что DigiCert сейчас пытается разгрести помойку, которую купил. :)

[dartraiden]

Именно так Trustico пыталась объяснить своё желание отозвать сертификаты. Мол, они были выданы бывшей Symantec под крылом DigiCert, а давайте их перевыпустим на всякий случай.

И только когда DigiCert затребовала более весомые причины, чем просто «на всякий случай» (потому что реселлер, в общем-то, не имеет права отзывать сертификаты лишь на основании одного своего желания), CEO Trustico переслал им приватные ключи, после чего стало понятно, что перевыпускать реально надо, и что в Trustico кладут «с прибором» на правила, запрещающие хранить приватные ключи клиентов.

Вина DigiCert тут лишь в том, что их реселлер творил какую-то непотребную дичь.