Zvětšitpožadovaný život
Významné vyhoření na diskusním fóru na internetu se dotýká znepokojující otázky týkající se bezpečnosti některých prohlížečů, kterým důvěřuje Certifikáty HTTPS, když odhalily generálního ředitele certifikátu distributor zaslal partnerovi citlivé soukromé klíče 23 000 TLS certifikáty.
Další čtení
Google odvede společnost Symantec do dřeviny za chybné vydání 30 000 HTTPS certs [updated] E-mail byl zaslán v úterý generálním ředitelem společnosti Trustico , britský prodejce certifikátů TLS vydaný agenturou prohlížeče důvěryhodné certifikační autority Comodo a donedávna Symantec. Byl poslán do Jeremy Rowley, výkonného viceprezidenta v DigiCert, certifikační autoritě, která získala společnost Symantec vydávání certifikátů podnikání po chycení Symantec závazná průmyslová pravidla, což společnost Google přimělo nedůvěřovat společnosti Symantec certifikáty v prohlížeči Chrome. V komunikaci dříve měsíc společnost Trustico oznámila společnosti DigiCert, že vydalo 50 000 společností Symantec certifikáty, které Trustico znovu prodal, by měly být kvůli hromadně zrušeny bezpečnostní obavy.
Šokující kavalír
Když Rowley požádal o důkaz, certifikáty byly ohroženy, generální ředitel společnosti Trustico zaslal soukromé klíče 23 000 certifikátů, podle účtu zveřejněného na fóru zásad zabezpečení Mozilly. Tato zpráva přinesla hromadné zalapání po dechu mezi mnoho bezpečností praktici, kteří to uvedli, šokovaně projevili kavalír zpracování digitálních certifikátů, které tvoří jeden z nejvíce základní základy zabezpečení webových stránek.
Obecně řečeno, soukromé klíče pro certifikáty TLS by měly nikdy nebudou archivováni prodejci, a to i ve vzácných případech, kdy takové skladování je přípustné, mělo by být pevně zajištěno. A CEO je schopen připojit klíče pro 23 000 certifikátů k e-mail vyvolává znepokojující obavy, že tyto typy osvědčených postupů nebyly následovány. (Neexistuje žádný náznak, že by e-mail byl šifrován, buď, ačkoli ani Trustico ani DigiCert neposkytly tento detail při odpovídání na otázky.) Ostatní kritici tvrdí Trustico e-mailem klíče ve snaze přinutit zákazníky Certifikáty vydané společností Symantec pro přechod na certifikáty vydané společností Comodo. Přestože společnost DigiCert převzala vydávání certifikátů společnosti Symantec podnikání, nepočítá se Trustico jako prodejce.
V prohlášení úředníci Trustico uvedli, že klíče byly získány zpět z „chladného úložiště“, což se obvykle týká offline úložné systémy.
„Trustico umožňuje zákazníkům vygenerovat podpis certifikátu Žádost a soukromý klíč během procesu objednávání, “prohlášení číst. “Tyto soukromé klíče jsou uloženy v chladném úložišti pro účel zrušení. “
Diskuse také vyvolává nové otázky týkající se společnosti Symantec dodržování pravidel závazných pro průmysl v době, kdy to bylo prohlížečem důvěryhodná certifikační autorita, která společnosti Trustico povolila prodat své certifikáty. V rámci základních požadavků na Fórum prohlížeče certifikační autority, prodejci nejsou povoleni archivovat soukromé klíče certifikátu. E-mail zvyšuje přízrak Trustico dělal právě to, když se nabídl přijmout žádosti o podpis certifikátů na svých webových stránkách. Jako držitel kořenový certifikát používaný k podpisu certifikátů TLS, které Trustico byl po opětovném prodeji byla společnost Symantec v konečném důsledku odpovědná za to požadavek byl dodržen, i když poctivě pravděpodobně žádný způsob, jak Symantec detekovat porušení. Trusticoúředníci dále zpochybnili bezpečnost společnosti Symantec Ve středu, kdy vyjádřili vážné obavy ohledně společnosti Symantec manipulace s účtem, který Trustico použil k dalšímu prodeji certifikáty.
„Během našich mnoha diskusí za poslední týden jsme vám je dali že jsme přesvědčeni, že společnost Symantec provozovala náš účet způsobem čímž byl kompromitován, “psali úředníci Trustica. Pokračovali: „Věříme, že objednávky zadané prostřednictvím naší společnosti Symantec účet byl v ohrožení a byl špatně spravován. Byli jsme dotazování společnosti Symantec bez odpovědi, pokud jde o položky pro asi rok. Symantec jednoduše ignorovala naše obavy a objevila se pochovat je v příštím vydání, které se objevilo. “
Úředníci společnosti Symantec neodpověděli na e-mail s žádostí o komentář pro tento příspěvek.
Středeční klapka přichází poté, co Google a Mozilla strávily roky snaží se lépe zabezpečit zabezpečení certifikátů jejich prohlížečů důvěra. Transparentnost DigiCert a dodržování základní linie Požadavky ukazují, že mnoho certifikačních autorit a prodejci jednají v dobré víře. Bohužel, jak Internetový proces vydávání certifikátů TLS funguje, jediný bod selhání je vše, co je potřeba k vytvoření kompromisů, které ohrožují celý systém. Čtenáři mohou očekávat, že Google a Mozilla utratí v nadcházejících týdnech bylo na rozbití zhroucení, které vyšlo najevo ve středu.
Další čtení
Webové stránky Trustico ztmavnou poté, co někdo upustí kritickou chybu TwitterUpdate: Několik hodin po zveřejnění tohoto příspěvku, Po zveřejnění odborníka na zabezpečení webu se web společnosti Trustico přepnul do režimu offline kritická zranitelnost na Twitteru. Chyba, v trustico.com funkce webu, která zákazníkům umožňovala potvrzovat certifikáty řádně nainstalován na svých stránkách, zdálo se, že útočníkům umožňuje spusťte škodlivý kód na serverech Trustico s neomezeným „kořenem“ privilegia.
