Компания DigiCert сегодня отзовёт (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.
В начале февраля компания Trustico обратилась (https://groups.google.com/forum/#!msg/mozilla.dev.security.p...) к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).
В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала (https://www.businesswire.com/news/home/20180214006519/en/Tru...) контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.
После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.
Отправленное сообщение не оставило DigiCert выбора и было принято решение (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Компания DigiCert напрямую направила (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.
Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась (https://groups.google.com/d/msg/mozilla.dev.security.policy/...) раскрывать информацию об утечке, поэтому остаются только предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Также таки и не раскрыта информации о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-интерфейса.
Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.
URL: https://www.theregister.co.uk/2018/03/01/trustico_digicert_s.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48166
А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?
> А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям
> этих сертификатов? И какие еще есть подводные в этом деле?software_reporter_tool.exe от Google, исправно передает все что необходимо, тому, сам знаешь кому.
Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
> Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и
> ерепенятся.Может рыльце в пушку? А тут канделябр (https://www.opennet.ru/opennews/art.shtml?num=48159) на подходе!
>Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.23 тысячи ССБЗ, которые отдают ключи сервису от васяна
> предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиентутакой принцип везде??
А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?
Так делают только продвинутые пользователи.
Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.
Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
"Знать" сегодня не в почёте
Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.
А ты не умеешь пользоваться запятыми. И может быть объяснишь, зачем тебе на андроиде сертификат понадобился?
Какие ещё запятые? Это простое предложение без оборотов и вводных слов.
Сертификат понадобился для аутентификации TLS.
> После требований предоставить доказательство компрометации
> требованийЧто?!!
> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Что за...
То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло вулкана вместе с бэкапами), то мне его уже не отозвать? Как вообще должны оперировать нормальные реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" кроме письма с поздравлениями от хакера Вована?
балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у него, это очевидная компроментация ключей. А на вопрос "как они у вас оказались?" они предсказуемо молчат, потому что не могут теперь признаться, что сами их стырили.
>предъявило серты,сорри, не серты, а приватные ключи
И? C какой стати они должны что-то _доказывать_?
Очевидно, потому что оно не является владельцем сертов и ключей, а только перепродаёт их. Если левый вася заявит, что ты профукал свои ключи, он ведь должен будет предъявить доказательства, не так ли?
> не могут теперь признаться, что сами их стырилиСегодня мне приснился сон и я решил вам рассказать об этом.
В Trustico пришли "люди в черном" (которые из фильма, во сне были те же актеры) и сказали что нужно сгенерировать сертификаты и вам их подписать. Дали список, там было около 50тыс хостов. Trustico выполнила требования и позже когда люди в черном (из фильма) разрешили, Trustico приналясь "защищать свое честное имя" обратившись в начале февраля к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.
После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.
Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
Не воспринимайте серьезно, это был просто сон.
>> После требований предоставить доказательство компрометации
>> требований
> Что?!!
>> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
> Что за...
> То есть, если я не могу прислать ключ от моего сертификата (например,
> потому что он упал в жерло вулкана вместе с бэкапами), то
> мне его уже не отозвать? Как вообще должны оперировать нормальные
> реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств"
> кроме письма с поздравлениями от хакера Вована?http://www.linux-ink.ru/static/SL.5.1_Docs/Russification/Doc...
B.4. Создание сертификата отзыва
После того как вы сгенерировали пару ключей, вам необходимо создать и сертификат отзыва для открытого ключа. Если вы забудете свою парольную фразу или она будет скомпрометирована, вы можете опубликовать этот сертификат, чтобы проинформировать других пользователей, что ваш открытый ключ более недействителен.[Note] Замечание
Когда вы генерируете сертификат отзыва, это не означает, что вы отзываете свой открытый ключ, просто вы подготавливаете сертификат на случай, если ваша парольная фраза будет узнана, или что-то случится с вашим жестким диском. Как только что-то случилось, вы можете сразу воспользоваться сертификатом отзыва, чтобы аннулировать действие открытого ключа.Для тех, кто читает вашу корреспонденцию, ваша подпись будет действительной до тех пор, пока вы не воспользуетесь функцией «отзыва». Для генерации такого рода сертификата воспользуйтесь опцией --gen-revoke:
gpg --output revoke.asc --gen-revoke you@example.com
GnuPG-то тут причём?
> То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
> вулкана вместе с бэкапами),то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.
Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
вот тут как раз в яблочко
https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754
This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.
Что-то протухло все в сертификатном бизнесе...
то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
Этот HSTS вообще достал со всех сторон
>Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)
> https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50
только вот народец пошел нынче неграмашный, и многие подписывальщики сертификатов предлагают заодно и сгенерить все необходимые файлы.Админ в здравом уме, конечно, такой услугой пользоваться не будет. Но.....
В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.
Заработок на воздухе дает сбои.