The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico

01.03.2018 10:28

Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.

В начале февраля компания Trustico обратилась к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Компания DigiCert напрямую направила уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.

Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась раскрывать информацию об утечке, поэтому остаются лишь предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.

Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Кроме того, так и не раскрыта информация о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.

Дополнение: на сайте Trustico выявлена легко эксплуатируемая уязвимость, позволяющая получить права root на сервере.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  3. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
  4. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  5. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  6. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48166-cert
Ключевые слова: cert, ca, ssl, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:01, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?
     
     
  • 2.3, Аноним (-), 11:27, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям
    > этих сертификатов? И какие еще есть подводные в этом деле?

    software_reporter_tool.exe от Google, исправно передает все что необходимо, тому, сам знаешь кому.  

     

  • 1.2, XoRe (ok), 11:26, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
     
     
  • 2.4, XoRe (ok), 11:28, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
     
  • 2.5, Аноним (-), 11:29, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и
    > ерепенятся.

    Может рыльце в пушку? А тут канделябр (https://www.opennet.ru/opennews/art.shtml?num=48159) на подходе!

     

  • 1.6, Аноним (-), 11:35, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

    23 тысячи ССБЗ, которые отдают ключи сервису от васяна

     
  • 1.8, Аноним (-), 11:45, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту

    такой принцип везде??

     
  • 1.10, Аноним (-), 11:51, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?
     
     
  • 2.11, 7936957974957965956959962 (?), 12:06, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так делают только продвинутые пользователи.
     
  • 2.12, noname.htm (ok), 12:07, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.
     
  • 2.25, nobody (??), 13:45, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
    "Знать" сегодня не в почёте
     
  • 2.39, drTr0jan (?), 04:34, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.
     
     
  • 3.40, Аноним (-), 11:13, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ты не умеешь пользоваться запятыми. И может быть объяснишь, зачем тебе на андроиде сертификат понадобился?
     
     
  • 4.43, drTr0jan (?), 14:54, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Какие ещё запятые? Это простое предложение без оборотов и вводных слов.
    Сертификат понадобился для аутентификации TLS.
     

  • 1.15, Аноним (-), 12:37, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > После требований предоставить доказательство компрометации
    > требований

    Что?!!

    > Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

    Что за...

    То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло вулкана вместе с бэкапами), то  мне его уже не отозвать? Как вообще должны оперировать нормальные реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" кроме письма с поздравлениями от хакера Вована?

     
     
  • 2.18, Аноним (-), 12:55, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у него, это очевидная компроментация ключей. А на вопрос "как они у вас оказались?" они предсказуемо молчат, потому что не могут теперь признаться, что сами их стырили.
     
     
  • 3.19, Аноним (-), 12:56, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >предъявило серты,

    сорри, не серты, а приватные ключи

     
  • 3.21, Аноним (-), 13:19, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И? C какой стати они должны что-то _доказывать_?
     
     
  • 4.23, Аноним (-), 13:36, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, потому что оно не является владельцем сертов и ключей, а только перепродаёт их. Если левый вася заявит, что ты профукал свои ключи, он ведь должен будет предъявить доказательства, не так ли?
     
  • 3.27, Аноним (-), 14:29, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > не могут теперь признаться, что сами их стырили

    Сегодня мне приснился сон и я решил вам рассказать об этом.

    В Trustico пришли "люди в черном" (которые из фильма, во сне были те же актеры) и сказали что нужно сгенерировать сертификаты и вам их подписать. Дали список, там было около 50тыс хостов. Trustico выполнила требования и позже когда люди в черном (из фильма) разрешили, Trustico приналясь "защищать свое честное имя" обратившись в начале февраля к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).  В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

    После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

    Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

    Не воспринимайте серьезно, это был просто сон.

     
  • 2.24, Аноним (-), 13:43, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> После требований предоставить доказательство компрометации
    >> требований
    > Что?!!
    >> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
    > Что за...
    > То есть, если я не могу прислать ключ от моего сертификата (например,
    > потому что он упал в жерло вулкана вместе с бэкапами), то
    >  мне его уже не отозвать? Как вообще должны оперировать нормальные
    > реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств"
    > кроме письма с поздравлениями от хакера Вована?

    http://www.linux-ink.ru/static/SL.5.1_Docs/Russification/Docs/sbs-sl-ru/s1-gn

    B.4. Создание сертификата отзыва
    После того как вы сгенерировали пару ключей, вам необходимо создать и сертификат отзыва для открытого ключа. Если вы забудете свою парольную фразу или она будет скомпрометирована, вы можете опубликовать этот сертификат, чтобы проинформировать других пользователей, что ваш открытый ключ более недействителен.

    [Note] Замечание
    Когда вы генерируете сертификат отзыва, это не означает, что вы отзываете свой открытый ключ, просто вы подготавливаете сертификат на случай, если ваша парольная фраза будет узнана, или что-то случится с вашим жестким диском. Как только что-то случилось, вы можете сразу воспользоваться сертификатом отзыва, чтобы аннулировать действие открытого ключа.

    Для тех, кто читает вашу корреспонденцию, ваша подпись будет действительной до тех пор, пока вы не воспользуетесь функцией «отзыва». Для генерации такого рода сертификата воспользуйтесь опцией --gen-revoke:

    gpg --output revoke.asc --gen-revoke  you@example.com

     
     
  • 3.41, Аноним (-), 11:17, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    GnuPG-то тут причём?
     
  • 2.26, нах (?), 14:09, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
    > вулкана вместе с бэкапами),

    то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
    Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.

    Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
    Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.

     
     
  • 3.29, Crazy Alex (ok), 15:25, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
     

  • 1.28, .. (?), 15:19, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    вот тут как раз в яблочко
    https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
     
  • 1.30, Kuromi (ok), 16:12, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?

    Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754

    This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.


    Что-то протухло все в сертификатном бизнесе...

     
     
  • 2.31, Truth (?), 16:26, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
    Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
     
     
  • 3.36, Kuromi (ok), 21:07, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
     
  • 2.35, Аноним (-), 19:14, 01/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Этот HSTS вообще достал со всех сторон
     

  • 1.32, ойой (?), 16:38, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

    А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)

    > https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

     
     
  • 2.37, Аноним (-), 00:04, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    только вот народец пошел нынче неграмашный, и многие подписывальщики сертификатов предлагают заодно и сгенерить все необходимые файлы.

    Админ в здравом уме, конечно, такой услугой пользоваться не будет. Но.....

     
     
  • 3.38, Аноним (-), 09:53, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.
     

  • 1.34, Аноним (-), 18:14, 01/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Заработок на воздухе дает сбои.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру