The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.03.2018 10:28  23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico

Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.

В начале февраля компания Trustico обратилась к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Компания DigiCert напрямую направила уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.

Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась раскрывать информацию об утечке, поэтому остаются лишь предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.

Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Кроме того, так и не раскрыта информация о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.

Дополнение: на сайте Trustico выявлена легко эксплуатируемая уязвимость, позволяющая получить права root на сервере.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  3. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
  4. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  5. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  6. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ca, ssl, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 11:01, 01/03/2018 [ответить] [смотреть все]     [к модератору]
  • +/
    А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдав... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 11:27, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    software_reporter_tool exe от Google, исправно передает все что необходимо, тому... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, XoRe, 11:26, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +16 +/
    Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
     
     
  • 2.4, XoRe, 11:28, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Матерь божья Они продают сертификаты comodo по 79 Такого дорогого воздуха ещё... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, Аноним, 11:29, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Может рыльце в пушку А тут канделябр https www opennet ru opennews art shtml... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 11:35, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    23 тысячи ССБЗ, которые отдают ключи сервису от васяна... весь текст скрыт [показать]
     
  • 1.8, Аноним, 11:45, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    такой принцип везде ... весь текст скрыт [показать]
     
  • 1.10, Аноним, 11:51, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    А разве не у себя на локалхосте генерируешь ключ серт, а в CA отправляешь только... весь текст скрыт [показать]
     
     
  • 2.11, 7936957974957965956959962, 12:06, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    Так делают только продвинутые пользователи.
     
  • 2.12, noname.htm, 12:07, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Отправляется CSR, да, а закрытый ключ остаётся у тебя Но для некоторых это слиш... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, nobody, 13:45, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
    "Знать" сегодня не в почёте
     
  • 2.39, drTr0jan, 04:34, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Андроид и не только не умеет пользовательскими инструментами генерировать закр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Аноним, 11:13, 03/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А ты не умеешь пользоваться запятыми И может быть объяснишь, зачем тебе на андр... весь текст скрыт [показать]
     
     
  • 4.43, drTr0jan, 14:54, 03/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какие ещё запятые Это простое предложение без оборотов и вводных слов Сертифик... весь текст скрыт [показать]
     
  • 1.15, Аноним, 12:37, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Что Что за То есть, если я не могу прислать ключ от моего сертификата нап... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 12:55, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 12:56, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >предъявило серты,

    сорри, не серты, а приватные ключи

     
  • 3.21, Аноним, 13:19, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    И? C какой стати они должны что-то _доказывать_?
     
     
  • 4.23, Аноним, 13:36, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очевидно, потому что оно не является владельцем сертов и ключей, а только перепр... весь текст скрыт [показать]
     
  • 3.27, Аноним, 14:29, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Сегодня мне приснился сон и я решил вам рассказать об этом В Trustico пришли л... весь текст скрыт [показать]
     
  • 2.24, Аноним, 13:43, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    http www linux-ink ru static SL 5 1_Docs Russification Docs sbs-sl-ru s1-gnupg... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Аноним, 11:17, 03/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    GnuPG-то тут причём?
     
  • 2.26, нах, 14:09, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Crazy Alex, 15:25, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
     
  • 1.28, .., 15:19, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    вот тут как раз в яблочко
    https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
     
  • 1.30, Kuromi, 16:12, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?

    Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754

    This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.


    Что-то протухло все в сертификатном бизнесе...

     
     
  • 2.31, Truth, 16:26, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    то есть макаки в продакшене ленятся обновить сертификаты ибо о том, что доверие... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Kuromi, 21:07, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    К Мозилле-то претензий нет Есть претензии к владельцам сайтов не чешущимся обно... весь текст скрыт [показать]
     
  • 2.35, Аноним, 19:14, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Этот HSTS вообще достал со всех сторон
     
  • 1.32, ойой, 16:38, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    >Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

    А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)

    > https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

     
     
  • 2.37, Аноним, 00:04, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    только вот народец пошел нынче неграмашный, и многие подписывальщики сертификато... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Аноним, 09:53, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В дополнение к поколению Ubuntu админить пошло поколение systemd То ли еще ... весь текст скрыт [показать]
     
  • 1.34, Аноним, 18:14, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Заработок на воздухе дает сбои.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor