Компания DigiCert сегодня отзовёт (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.
В начале февраля компания Trustico обратилась (https://groups.google.com/forum/#!msg/mozilla.dev.security.p...) к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).
В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала (https://www.businesswire.com/news/home/20180214006519/en/Tru...) контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.
После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.
Отправленное сообщение не оставило DigiCert выбора и было принято решение (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Компания DigiCert напрямую направила (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.
Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась (https://groups.google.com/d/msg/mozilla.dev.security.policy/...) раскрывать информацию об утечке, поэтому остаются только предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.
Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Также таки и не раскрыта информации о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-интерфейса.
Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.
URL: https://www.theregister.co.uk/2018/03/01/trustico_digicert_s.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48166