В начале февраля компания Trustico, выступающая реселлером SSL-сертификатов DigiCert, запросила (без объяснения причин) отзыв всех сертификатов, которые были выданы через Trustico.
Расследование вскрыло чудовищное пренебрежение правилами безопасности:
— реселлер (в нарушение правил) делал копии приватных ключей сертификатов. Тем самым, по сути, скомпрометировав сертификаты самостоятельно;
— пользователи об этом ничего не знали;
— веб-сервис для выдачи сертификатов использовал скрипты, принадлежащие сторонним компаниям, в том числе — рекламным сервисам;
— официальный сайт Trustico содержал уязвимость, допускающую выполнение на сервере произвольного кода с правами root (исследователь, обнаруживший проблему, утверждает, что нашёл необходимую информацию в открытых источниках);
— другие исследователи, которые воспользовались этой уязвимостью, не смогли получить доступ к архиву приватных ключей клиентов Trustico, но нашли на скомпрометированном сервере приватный ключ от сертификата домена *.trustico.com;
— вместо признания проблем Trustico пыталась отрицать даже само обладание приватными ключами. Что полностью бессмысленно, поскольку перед этим они отправили эти приватные ключи клиентов в DigiCert в качестве доказательства необходимости перевыпуска сертификатов. Налицо желание любыми способами замять и скрыть инцидент в надежде, что на этот раз «пронесёт». Не пронесло.
Вероятно, этот инцидент окажет заметное влияние на отрасль. Очевидно, что необходим пересмотр принципов взаимодействия удостоверяющих центров с реселлерами. К тому же, стоит задуматься об ужесточении требований, предъявлямых к реселлерам. «Продавец безопасности», у которого на сайте есть поле ввода, позволяющее ввести произвольные shell-команды, исполняемые на сервере с правами суперпользователя — это нонсенс.
Автор: Александр
