Более 20 тыс. пользователей лишатся SSL-сертификатов из-за спора DigiCert и Trustico

Более 20 тыс. пользователей лишатся SSL-сертификатов из-за спора DigiCert и Trustico

Эксперты в области кибербезопасности обвинили Trustico в логировании копий закрытых ключей SSL-сертификатов.

1 марта 2018 года поставщик DigiCert отзовет более 23 тыс. SSL-сертификатов, выданных британскому реселлеру Trustico. Согласно письму DigiCert, направленному клиентам Trustico, отзыв сертификатов связан с неким инцидентом безопасности, однако гендиректор последней Зэйн Лукас (Zane Lucas) заявил, что в его компании никаких киберинцидентов не происходило.

По данным ресурса BleepingComputer, история началась 2 февраля, когда Trustico направила DigiCert письмо с просьбой отозвать порядка 50 тыс. сертификатов, выданных Центром Сертификации (ЦС) Symantec (DigiCert приобрела часть бизнеса Symantec по выпуску SSL-сертификатов). Спустя несколько дней Trustico заявила о прекращении продажи сертификатов Symantec. Напомним, в минувшем году Symantec оказалась в центре громкого скандала в связи с многочисленными случаями ошибочной выдачи SSL-сертификатов. В результате компания Google приняла решение прекратить поддержку сертификатов Symantec: с весны 2018 года Google Chrome перестанет поддерживать все SSL-сертификаты, которые были выпущены до 1 июня 2016 года, а с осени – сертификаты, выданные до 1 декабря 2017 года.

В свою очередь DigiCert отказалась аннулировать сертификаты, указав, что правила индустрии неясны относительно того, имеет ли право реселлер отзывать сертификаты своих клиентов, или это могут сделать только конечные пользователи. По словам представителей поставщика, массовый отзыв возможен только в том случае, если имеются свидетельства инцидента безопасности, в результате которого были скомпрометированы закрытые ключи клиентов. В ответ Trustico направила письмо, содержащее более 23 тыс. закрытых ключей для SSL-сертификатов клиентов компании. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, согласно которым, удостоверяющие центры должны сразу удалять закрытые ключи после их передачи клиенту.

В итоге в соответствии с требованиями, предписывающими аннулировать скомпрометированные сертификаты в течение 24 часов после инцидента, DigiCert начала процесс отзыва указанных сертификатов, о чем предупредила пострадавших клиентов Trustico. Поставщик также проинформировал компанию Mozilla о скомпрометированных ключах и пообещал позже опубликовать их в свободном доступе, чтобы разработчики браузеров смогли принять соответствующие меры.

Тем временем несколько экспертов в области кибербезопасности обвинили британского реселлера в логировании копий закрытых ключей SSL-сертификатов. По их мнению, Trustico автоматизировала процесс запроса на получение сертификата (Certificate Signing Request, CSR), генерировала сертификаты и при этом сохраняла копии приватных ключей.

Представители компании опровергли предположения об инциденте безопасности, при этом происхождение закрытых ключей, фигурировавших в письме, они не пояснили. По словам Зэйна Лукаса, Trustico реализовала механизм по замене отозванных сертификатов Symantec/DigiCert для владельцев web-сайтов, однако он оказался нерабочим.

Пока вопрос о дальнейших действиях компаний остается открытым. Будет ли инициировано расследование относительно того, каким образом в руках Trustico оказались закрытые ключи SSL-сертификатов, также неизвестно.

DigiCert - центр сертификации, который верифицирует компании и выдает SSL-сертификаты для сайтов.

Trustico - компания, предоставляющая услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь