The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.03.2018 10:28  23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico

Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром.

В начале февраля компания Trustico обратилась к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Компания DigiCert напрямую направила уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника, взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.

Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась раскрывать информацию об утечке, поэтому остаются лишь предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.

Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Кроме того, так и не раскрыта информация о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

Ожидается, что инцидент послужит толчком к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.

Дополнение: на сайте Trustico выявлена легко эксплуатируемая уязвимость, позволяющая получить права root на сервере.

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  3. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
  4. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  5. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  6. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ca, ssl, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:01, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?
     
     
  • 2.3, Аноним (-), 11:27, 01/03/2018 [^] [ответить]     [к модератору]
  • –3 +/
    software_reporter_tool exe от Google, исправно передает все что необходимо, тому... весь текст скрыт [показать]
     
  • 1.2, XoRe (ok), 11:26, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +16 +/
    Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
     
     
  • 2.4, XoRe (ok), 11:28, 01/03/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
     
  • 2.5, Аноним (-), 11:29, 01/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Может рыльце в пушку А тут канделябр https www opennet ru opennews art shtml... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 11:35, 01/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +5 +/
    23 тысячи ССБЗ, которые отдают ключи сервису от васяна... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 11:45, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту

    такой принцип везде??

     
  • 1.10, Аноним (-), 11:51, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?
     
     
  • 2.11, 7936957974957965956959962 (?), 12:06, 01/03/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Так делают только продвинутые пользователи.
     
  • 2.12, noname.htm (ok), 12:07, 01/03/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Отправляется CSR, да, а закрытый ключ остаётся у тебя Но для некоторых это слиш... весь текст скрыт [показать]
     
  • 2.25, nobody (??), 13:45, 01/03/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
    "Знать" сегодня не в почёте
     
  • 2.39, drTr0jan (?), 04:34, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.
     
     
  • 3.40, Аноним (-), 11:13, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А ты не умеешь пользоваться запятыми. И может быть объяснишь, зачем тебе на андроиде сертификат понадобился?
     
     
  • 4.43, drTr0jan (?), 14:54, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Какие ещё запятые? Это простое предложение без оборотов и вводных слов.
    Сертификат понадобился для аутентификации TLS.
     
  • 1.15, Аноним (-), 12:37, 01/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Что Что за То есть, если я не могу прислать ключ от моего сертификата нап... весь текст скрыт [показать]
     
     
  • 2.18, Аноним (-), 12:55, 01/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у не... весь текст скрыт [показать]
     
     
  • 3.19, Аноним (-), 12:56, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >предъявило серты,

    сорри, не серты, а приватные ключи

     
  • 3.21, Аноним (-), 13:19, 01/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И? C какой стати они должны что-то _доказывать_?
     
     
  • 4.23, Аноним (-), 13:36, 01/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Очевидно, потому что оно не является владельцем сертов и ключей, а только перепр... весь текст скрыт [показать]
     
  • 3.27, Аноним (-), 14:29, 01/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Сегодня мне приснился сон и я решил вам рассказать об этом В Trustico пришли л... весь текст скрыт [показать]
     
  • 2.24, Аноним (-), 13:43, 01/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    http www linux-ink ru static SL 5 1_Docs Russification Docs sbs-sl-ru s1-gnupg... весь текст скрыт [показать]
     
     
  • 3.41, Аноним (-), 11:17, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    GnuPG-то тут причём?
     
  • 2.26, нах (?), 14:09, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
    > вулкана вместе с бэкапами),

    то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
    Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.

    Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
    Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.

     
     
  • 3.29, Crazy Alex (ok), 15:25, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
     
  • 1.28, .. (?), 15:19, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    вот тут как раз в яблочко
    https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
     
  • 1.30, Kuromi (ok), 16:12, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?

    Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754

    This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.


    Что-то протухло все в сертификатном бизнесе...

     
     
  • 2.31, Truth (?), 16:26, 01/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
    Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
     
     
  • 3.36, Kuromi (ok), 21:07, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
     
  • 2.35, Аноним (-), 19:14, 01/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Этот HSTS вообще достал со всех сторон
     
  • 1.32, ойой (?), 16:38, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

    А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)

    > https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

     
     
  • 2.37, Аноним (-), 00:04, 02/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    только вот народец пошел нынче неграмашный, и многие подписывальщики сертификато... весь текст скрыт [показать]
     
     
  • 3.38, Аноним (-), 09:53, 02/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.
     
  • 1.34, Аноним (-), 18:14, 01/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Заработок на воздухе дает сбои.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor