Комментарии 11
Объясните мне, дремучему, как к CA попали приватные ключи клиентов? Приветный ключ всегда хранится на системе, на которой был сгенерирован, и никогда её не покидает (ну, разве что с бекапом, и то не всегда).
+1
Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process.
Похоже, что и приватный ключ создавался на их стороне?
Get Your Certificate Signing Request (CSR) & Private Key
A Private Key is also created at the same time that you create the Certificate Signing Request (CSR)
+2
Конечно сервис по «помощи» в генерации CSR — это прям отличный троянский конь нашего времени! Жесть. Я могу понять — клиенты не разбираются в Безопасности и особенностях всяких.
Но! Куда смотрели DigiCert? Откуда такое пренебрежение аудитом своих реселлеров — даже поверхностному?! Любой поставщик своих крупных дилеров знает и аудирует в той или иной степени.
0
Давно нужно пересмотреть эту отрасль. В порядке вещей такая ситуация, что антивирус признает вредоносной программу, подписанную цифровой подписью. Более того EV цифровой подписью. Понять антивирусы можно, их задача — обезопасить пользователей. Однако, для вендоров это огромная головная боль. Все нужно подписывать и это не избавляет от ложных срабатываний. Получается что современные ЦП и сертификаты это формальность ради формальности. В рамках веб-технологий это, безусловно, и защита соединения, но не более того.
+1
В порядке вещей такая ситуация, что антивирус признает вредоносной программу, подписанную цифровой подписью. Более того EV цифровой подписью.
И правильно. Инцидент со стакснетом (когда малварь была подписана приватными ключами jmicron и realtek) это доказал.
+1
Так одно с другим не связано :-)
Подпись подтверждает целостность файла, а не его безвредность.
Подпись подтверждает целостность файла, а не его безвредность.
0
Ну если клиенты ленятся генерировать свой приватный ключ и подписывать сертификаты через CSR, то в общем то сами они навлекли на себя проблемы.
Ну а вообще конечно непонятно нахрен они вообще хранят эти ключи — ну сгенерировали ленивому клиенту, дали скачать и удаляй нахрен. Лишний головняк только.
0
В оригинальной статье (по крайней мере в прессе, где прочитал), речь шла не совсем о DigiCert, а о подразделении Symantec, которое он недавно купил. У него были серьёзные проблемы с безопасностью, что Мозила и Хром на какое-то время убирали их корневой сертификат из доверенных.
Причём проблема вскрылась, когда СЕО реселлера переслал приватные ключи 23000 сертификатов по обычной почте. (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/). Веселая история.
Так что DigiCert сейчас пытается разгрести помойку, которую купил. :)
Причём проблема вскрылась, когда СЕО реселлера переслал приватные ключи 23000 сертификатов по обычной почте. (https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/). Веселая история.
Так что DigiCert сейчас пытается разгрести помойку, которую купил. :)
+2
Именно так Trustico пыталась объяснить своё желание отозвать сертификаты. Мол, они были выданы бывшей Symantec под крылом DigiCert, а давайте их перевыпустим на всякий случай.
И только когда DigiCert затребовала более весомые причины, чем просто «на всякий случай» (потому что реселлер, в общем-то, не имеет права отзывать сертификаты лишь на основании одного своего желания), CEO Trustico переслал им приватные ключи, после чего стало понятно, что перевыпускать реально надо, и что в Trustico кладут «с прибором» на правила, запрещающие хранить приватные ключи клиентов.
Вина DigiCert тут лишь в том, что их реселлер творил какую-то непотребную дичь.
И только когда DigiCert затребовала более весомые причины, чем просто «на всякий случай» (потому что реселлер, в общем-то, не имеет права отзывать сертификаты лишь на основании одного своего желания), CEO Trustico переслал им приватные ключи, после чего стало понятно, что перевыпускать реально надо, и что в Trustico кладут «с прибором» на правила, запрещающие хранить приватные ключи клиентов.
Вина DigiCert тут лишь в том, что их реселлер творил какую-то непотребную дичь.
+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Отзыв 50 тысяч сертификатов DigiCert