23.000 HTTPS-Zertifikate werden nach E-Mails des CEO gesperrt private Schlüssel

23.000 HTTPS-Zertifikate gesperrt, nachdem CEO private Schlüssel per E-Mail gesendet hatErhöhen Sie das unerwiderte Leben

Eine große Entstaubung in einem Internet-Diskussionsforum löst sich auf beunruhigende Fragen zur Sicherheit einiger Browser, denen vertraut wird HTTPS-Zertifikate, wenn der CEO eines Zertifikats ermittelt wurde Der Reseller schickte einem Partner eine E-Mail mit den sensiblen privaten Schlüsseln für 23.000 TLS-Zertifikate.

Weitere Lektüre

Google bringt Symantec zum Holzschuppen, weil 30.000 HTTPS falsch ausgegeben wurden certs [aktualisiert] Die E-Mail wurde am Dienstag vom CEO von gesendet Trustico , ein in Großbritannien ansässiger Händler von TLS-Zertifikaten, die von der Browser-vertrauenswürdige Zertifizierungsstellen Comodo und bis vor kurzem Symantec. Es wurde an Jeremy Rowley, einen Executive Vice President, geschickt bei DigiCert, einer Zertifizierungsstelle, die Symantec erworben hat Zertifikatausstellungsgeschäft, nachdem Symantec missachtet wurde verbindliche Branchenregeln, die Google dazu veranlassen, Symantec zu misstrauen Zertifikate in seinem Chrome-Browser. In der Kommunikation früher diese Monat teilte Trustico DigiCert mit, dass 50.000 von Symantec ausgegeben wurden Zertifikate, die Trustico weiterverkauft hatte, sollten wegen widerrufen werden Sicherheitsbedenken.

Erschreckend unbekümmert

EIN ls Rowley nach einem Beweis fragte, wurden die Zertifikate kompromittiert. Der CEO von Trustico schickte die privaten Schlüssel von 23.000 Zertifikaten per E-Mail. gemäß einem Konto, das in einem Mozilla-Forum für Sicherheitsrichtlinien gepostet wurde. Der Bericht löste unter vielen Sicherheitsleuten ein kollektives Keuchen aus Praktizierende, die es sagten, zeigten einen schockierend unbekümmerten Menschen Behandlung der digitalen Zertifikate, die eines der am meisten bilden Grundlegende Grundlagen der Website-Sicherheit.

Im Allgemeinen sollten private Schlüssel für TLS-Zertifikate verwendet werden niemals von Wiederverkäufern archiviert werden, und selbst in den seltenen Fällen, in denen Eine solche Lagerung ist zulässig, sie sollte engmaschig gesichert werden. ACEO in der Lage, die Schlüssel für 23.000 Zertifikate an eine E-Mail wirft besorgniserregende Bedenken hinsichtlich dieser Art von Best Practices auf wurden nicht verfolgt. (Es gibt keinen Hinweis darauf, dass die E-Mail verschlüsselt wurde. Auch wenn weder Trustico noch DigiCert dieses Detail zur Verfügung stellten bei der Beantwortung von Fragen.) Andere Kritiker behaupten, Trustico mailte die Schlüssel in einem Versuch, Kunden mit zu zwingen Von Symantec ausgestellte Zertifikate, um zu von Comodo ausgestellten Zertifikaten zu wechseln. Obwohl DigiCert die Zertifikatausstellung von Symantec übernommen hat Unternehmen zählt Trustico nicht als Wiederverkäufer.

In einer Erklärung sagten Beamte von Trustico, die Schlüssel seien zurückgeholt worden vom “kalten Speicher”, ein Begriff, der sich normalerweise auf offline bezieht Speichersysteme.

“Mit Trustico können Kunden eine Zertifikatsignatur erstellen Anfrage und privater Schlüssel während des Bestellvorgangs “, heißt es in der Erklärung lesen. Msgstr “Diese privaten Schlüssel werden in einem Kühlraum für den Computer gespeichert Zweck des Widerrufs. ”

Die Diskussion wirft auch neue Fragen zu Symantec auf Einhaltung von branchenüblichen Regeln in der Zeit als es ein Browser-vertrauenswürdige Zertifizierungsstelle, über die Trustico verfügt weiterverkaufen ihre Zertifikate. Unter den Grundanforderungen für die Im Certificate Authority Browser Forum dürfen Wiederverkäufer nicht Private Schlüssel des Archivzertifikats. Die E-Mail weckt das Gespenst Trustico hatte genau das getan, als es angeboten hatte zu akzeptieren Zertifikatsignierungsanfragen auf seiner Website. Als Inhaber der Stammzertifikat, das zum Signieren der TLS-Zertifikate verwendet wurde Beim Wiederverkauf war Symantec letztendlich dafür verantwortlich Anforderung wurde befolgt, obwohl es fairerweise gab Wahrscheinlich hat Symantec keine Möglichkeit, einen Verstoß zu erkennen. TrusticoBeamte riefen die Sicherheit von Symantec weiter in Frage Mittwoch, als sie ernsthafte Bedenken über Symantecs äußerten Verwaltung eines Kontos, das Trustico für den Weiterverkauf des Zertifikate.

“Während unserer vielen Diskussionen in der vergangenen Woche haben wir es Ihnen gesagt Wir sind der Ansicht, dass Symantec unser Konto auf eine Weise verwaltet hat wodurch es kompromittiert worden war “, schrieben die Beamten von Trustico. Sie fuhren fort: “Wir glauben, dass die Bestellungen über unser Symantec erfolgen Konto waren gefährdet und wurden schlecht verwaltet. Wir waren Befragung von Symantec ohne Antwort bezüglich der Elemente für ungefähr ein Jahr. Symantec ignorierte einfach unsere Bedenken und schien zu sein begraben sie unter der nächsten Ausgabe, die entstand. ”

Symantec-Mitarbeiter haben nicht auf eine E-Mail geantwortet, in der sie um einen Kommentar gebeten haben für diesen Beitrag.

Die Klappe am Mittwoch kommt, nachdem Google und Mozilla Jahre verbracht haben versuchen, die Sicherheit der Zertifikate ihrer Browser besser zu schützen Vertrauen. DigiCerts Transparenz und Einhaltung der Baseline Anforderungen zeigt, dass viele Zertifizierungsstellen und Wiederverkäufer handeln nach Treu und Glauben. Leider ist die Art und Weise der Der Ausstellungsprozess für TLS-Zertifikate im Internet funktioniert an einem einzigen Punkt Englisch: emagazine.credit-suisse.com/app/art…1007 & lang = en Es ist alles, was man braucht, um Kompromisse zu schließen, die das Scheitern gefährden ganzes System. Leser können damit rechnen, dass Google und Mozilla Geld ausgeben Viel Zeit und Ressourcen in den kommenden Wochen Panne, die Mittwoch ans Licht kam.

Weitere Lektüre

Die Trustico-Website wird dunkel, nachdem jemand einen kritischen Fehler aufgedeckt hat TwitterUpdate: Einige Stunden nachdem dieser Beitrag online ging, Die Website von Trustico wurde nach dem Posten eines Web-Sicherheitsexperten deaktiviert eine kritische Sicherheitslücke auf Twitter. Der Fehler in einem trustico.com Website-Funktion, mit der Kunden Zertifikate bestätigen konnten richtig auf ihren Standorten installiert, schien es Angreifern zu ermöglichen Führen Sie bösartigen Code auf Trustico-Servern mit uneingeschränktem “root” aus. Privilegien.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: