DigiCert指责Trustico通过电子邮件发送机密私钥
DigiCert/Trustico分手 23,000个SSL证书将被大规模吊销
DIGICERT宣布计划撤销英国公司Trustico在公司发布严重“安全事件”指控后转售的超过23,000份数字证书。
根据DigiCert副总裁Jeremy Rowley的说法,Trustico在2月初要求撤销原因是因为违规,但之后向DigiCert发送了其客户证书的所有私钥 - 这绝对不应该发生。
DigiCert是日通过大规模撤销所有23,000份证书作出回应,理由是Trustico永远都不该去不储存客户私钥。
“在2018年2月2日,我们收到了大量撤销从Trustico买来的所有证书的请求,”Rowley在一个不同寻常的安全博客中写道。
不幸的是,由于电子邮件没有发送到适当的证书问题报告渠道,我们没有第一时间发现和分享该信息。
在没有规定或者证书持有人同意的情况下,DigiCert不能撤销密钥。
该公司告诉我们说,他们持有被泄露的私钥和证书,并试图触发无线电通信局的24小时撤销请求。然而,我们坚持要求用户必须确认撤销请求或者证实私钥被泄露。
2018年2月27日,在我的要求下我们收到了包含23,000个与Trustico客户相对应的私钥。于是我们直接启用了24小时撤销处理......
”......我们一收到密钥就确认了这些私钥确实对应被报告的问题证书。“他写道,”而在当时,Trustico没有提供任何信息解释这些证书是如何被破解的,又或者他们是怎么拿到私钥的。作为一个正规的证书颁发机构,DigiCert从来不去收集这些私钥。“
Trustico随后在其网站上发表声明,以证明其行为是正当的。它声称这么做是在撤销和更换赛门铁克数字证书。
根据Trustico的声明,“我们在过去一周曾多次与DigiCert联系,告知他们我们不再授权他们在他们的平台上持有我们的活动SSL证书。”
我们认为,通过我们的赛门铁克账户下达的订单处于风险之中,管理不善。良心上,我们认为在赛门铁克系统上拥有任何有效的SSL证书并不理想,也不符合我们严格的安全要求。我们的担忧建立于谷歌浏览器即将对所有赛门铁克SSL证书的不信任。
我们不认为我们泄露的任何私钥,尽管在DigiCert的要求下,我们向他们提供了私钥,以便于撤销请求。
该公司的声明中没有否认保留客户私钥。
安全专家Kevin Beaumont毫不含糊地指责Trustico,声称它不应该保留任何私钥,无论是出于何种理由。他还指出,这些密钥在Trustico手里还是未加密保存的。
同时他还在推特上指出,Trustico不是什么十八线小CA,其重要客户包括了去年遭受破坏性攻击的Equifax以及一家主流国际银行。
目测这公司要凉。。。。。。
领取专属 10元无门槛券
私享最新 技术干货