DigiCert отзывает 23 тысячи SSL-сертификатов: в чем причина
1 марта клиенты реселлера SSL-сертификатов Trustico узнали [1], что 23 тыс. сертификатов будут аннулированы в течение суток. Отзыв инициировал центр сертификации DigiCert — это было сделано потому, что в распоряжении Trustico оказались закрытые SSL-ключи клиентов.
Подробнее о том, что случилось, расскажем далее.
[2]
/ Pexels / Skitterphoto [3] / CC [4]
Действующие лица
Trustico продает сертификаты Symantec, GeoTrust, Thawte и RapidSSL. Ранее всеми этими сертификатами управлял Symantec, однако с 1 декабря 2017 года за работу с ними отвечает CA DigiCert. В прошлом году Google запустили [5] процедуру прекращения доверия к сертификатам, выданным с использованием старой инфраструктуры Symantec, из-за того, что в компании не смогли обеспечить должный контроль за соблюдением стандартов обслуживания.
В результате Symantec решили продать сертификационный бизнес компании DigiCert, чтобы «восстановить доверие» и соблюсти требования Google, — об этом мы рассказывали [6] ранее.
Ситуация с Trustico
28 февраля Trustico потребовал [7] у DigiCert аннулировать сертификаты Symantec из-за их компрометации. Когда в DigiCert попросили предоставить подробности, представители Trustico просто выслали им по электронной почте 23 тыс. закрытых ключей сертификатов клиентов.
В результате у DigiCert не осталось выбора — центр запустил процесс отзыва сертификатов, отправив уведомление каждому владельцу сертификата, секретные ключи которых фигурировали в письме Trustico. При этом в DigiCert отмечают, что процедура аннулирования сертификатов никак не связана [7] с прекращением доверия Google и Mozilla, которая должна начаться 15 марта.
Откуда взялись SSL-ключи
Начало истории было положено еще в первой половине февраля. Тогда Trustico попросили [8] DigiCert отозвать сразу 50 тыс. Сертификатов, якобы они были скомпрометированы. Центр сертификации не стал этого делать — у реселлера не было подтверждающих аргументов.
Немного позже на сайте Trustico появилась информация [9] об отказе от SSL-сертификатов Symantec, GeoTrust, Thawte и RapidSSL. Тогда глава Trustico Зейн Лукас (Zane Lucas) и отправил [10] вице-президенту DigiCert Джереми Роули (Jeremy Rowley) копии секретных ключей по электронной почте в качестве подтверждения компрометации. По словам Роули, сперва в Trustico не раскрыли, откуда взялись эти секретные ключи. Однако позже Зейн сделал заявление [11], из которого стало понятно, что ключи держатся у Trustico в «холодном хранилище».
В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request [12]) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей. При этом пользователи Trustico не знали о том, что их ключи доступны кому-то еще, в том числе генеральному директору компании.
/ Flickr / Jeremy Segrott [13] / CC [14]
Реакция сообщества и последствия
Подобное поведение Trustico породило [1] мнение, что в компании специально скомпрометировали ключи, чтобы запустить процедуру отзыва SSL/TLS-сертификатов Symantec и начать заниматься другими продуктами. Подтверждает это и тот факт, что до инцидента Trustico начали продавать [15] сертификаты конкурента DigiCert — Comodo.
Также беспокойство сообщества вызвал сам факт пересылки ключей по электронной почте. Так как неизвестно [1], был ли канал, по которым передавались сообщения, защищенным. Поэтому не удивительно, что на инфраструктуру реселлера обратили внимание специалисты по информационной безопасности.
И проблемы в работе сервиса были найдены. Один из пользователей Twitter опубликовал информацию [16] о критической уязвимости Trustico. Правда, это привело к тому, что сайт реселлера на какое-то время был выведен из строя.
На сайте компании имелся инструмент, который позволял владельцам сайтов проверять корректность установки сертификатов. И он содержал [18] ошибку. Благодаря ей в форму проверки можно было внедрить свои команды и выполнить на серверах Trustico вредоносный код с root-правами. При этом, как утверждает сам исследователь, проблема была известна довольно давно, так как всю информацию он нашел в открытых источниках в интернете.
Сейчас Trustico грозят проблемы юридического характера. Пользователи Twitter отмечают [19], что Trustico обслуживает ряд крупных клиентов, в том числе одно из основных кредитных бюро в США Equifax [20]. А репутационные проблемы из-за всех вопросов к этой ситуации и неоднозначных действий руководства могут стоить реселлеру крупных заказов.
Материалы по теме из блога 1cloud:
- Зачем нужны SSL-сертификаты: расскажем простыми словами [21]
- Почему HTTP-сайты будут считаться небезопасными? [22]
- Meltdown и Spectre: новогодняя процессорная уязвимость [23]
- Типы SSL-сертификатов: какой сертификат выбрать [24]
- Получение OV и EV сертификата — что нужно знать? [25]
Автор: 1cloud
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/274859
Ссылки в тексте:
[1] узнали: https://www.theregister.co.uk/2018/03/01/trustico_digicert_symantec_spat/
[2] Image: https://habrahabr.ru/company/1cloud/blog/350768/
[3] Skitterphoto: https://www.pexels.com/photo/antique-close-up-equipment-hanging-615350/
[4] CC: https://www.pexels.com/photo-license/
[5] запустили: https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ
[6] рассказывали: https://habrahabr.ru/company/1cloud/blog/349382/
[7] потребовал: https://www.digicert.com/blog/digicert-statement-trustico-certificate-revocation/
[8] попросили: https://www.ssltrust.com.au/blog/trustico-requests-50000-certificates-revoked/
[9] появилась информация: https://www.trustico.fr/news/2018/abandons/trustico-abandons-symantec.php
[10] отправил: https://boingboing.net/2018/03/04/security-muppetry.html
[11] сделал заявление: https://groups.google.com/d/msg/mozilla.dev.security.policy/wxX4Yv0E3Mk/jx6r9jlPAwAJ
[12] Certificate Signing Request: https://en.wikipedia.org/wiki/Certificate_signing_request
[13] Jeremy Segrott: https://www.flickr.com/photos/126337928@N05/25629507461/
[14] CC: https://creativecommons.org/licenses/by/2.0/
[15] начали продавать: https://www.prnewswire.com/news-releases/comodo-and-trustico-team-up-in-strategic-worldwide-partnership-300478084.html
[16] опубликовал информацию: https://www.theregister.co.uk/2018/03/01/trustico_website_offline/
[17] March 1, 2018: https://twitter.com/cujanovic/status/969229397508153350?ref_src=twsrc%5Etfw
[18] содержал: https://xakep.ru/2018/03/02/trustico-certs/
[19] отмечают: https://twitter.com/GossiTheDog/status/968934394844078080
[20] Equifax: https://habrahabr.ru/company/1cloud/blog/349116/
[21] Зачем нужны SSL-сертификаты: расскажем простыми словами: https://zen.yandex.ru/media/id/5a8d66d828c6a1237a7f54ce/zelenye-zamochki-zachem-nujny-sslsertifikaty-5a9045be48c85e4fe5f18c4e
[22] Почему HTTP-сайты будут считаться небезопасными?: https://1cloud.ru/blog/http-sayty-budut-schitatsya-nebezopasnyimi?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[23] Meltdown и Spectre: новогодняя процессорная уязвимость: https://1cloud.ru/blog/uyazvimost-meltdown-spectre?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[24] Типы SSL-сертификатов: какой сертификат выбрать: https://1cloud.ru/blog/vidy-sertifikatov-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[25] Получение OV и EV сертификата — что нужно знать?: https://1cloud.ru/blog/poluchenie-ssl-sertifikatov-ov-ev?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[26] Источник: https://habrahabr.ru/post/350768/?utm_source=habrahabr&utm_medium=rss&utm_campaign=350768
Нажмите здесь для печати.