23 000 certificats HTTPS supprimés après les e-mails du PDG clés privées

23 000 certificats HTTPS supprimés après que le PDG ait envoyé des clés privéesVie agrandie sans contrepartie

Une grande poussière sur un forum de discussion Internet est en train de commencer questions troublantes sur la sécurité de certains navigateurs de confiance Les certificats HTTPS quand il a révélé le PDG d’un certificat le revendeur a envoyé à un partenaire les clés privées sensibles pour 23 000 Certificats TLS.

Lectures complémentaires

Google emmène Symantec à la trappe pour avoir émis 30 000 HTTPS par erreur certs [updated] L’e-mail a été envoyé mardi par le PDG de Trustico , un revendeur basé au Royaume-Uni de certificats TLS émis par le autorités de certification de confiance du navigateur, Comodo et, jusqu’à récemment, Symantec. Il a été envoyé à Jeremy Rowley, un vice-président exécutif chez DigiCert, une autorité de certification qui a acquis le logiciel Symantec d’émission de certificats après que Symantec a été pris au piège des règles sectorielles contraignantes, incitant Google à se méfier de Symantec certificats dans son navigateur Chrome. Dans les communications plus tôt cette mois, Trustico a informé DigiCert que 50 000 licences émises par Symantec certificats que Trustico avait revendus devraient être révoqués en masse en raison de préoccupations de sécurité.

Choquant cavalier

Lorsque Rowley a demandé une preuve, les certificats ont été compromis, le PDG de Trustico a envoyé par courrier électronique les clés privées de 23 000 certificats, selon un compte posté sur un forum de politique de sécurité Mozilla. Le rapport a produit un souffle collectif parmi de nombreuses organisations de sécurité les pratiquants qui ont dit qu’il démontrait un cavalier choquant traitement des certificats numériques qui constituent l’un des plus fondements fondamentaux de la sécurité de site Web.

De manière générale, les clés privées pour les certificats TLS doivent ne jamais être archivés par des revendeurs, et même dans les rares cas où Si le stockage est autorisé, il convient de les protéger étroitement. UNE Le chef de la direction peut joindre les clés de 23 000 certificats à un email soulève des préoccupations troublantes que ces types de meilleures pratiques n’ont pas été suivis. (Rien n’indique que l’e-mail a été crypté, soit bien que ni Trustico ni DigiCert n’aient fourni ce détail en répondant aux questions.) D’autres critiques soutiennent Trustico envoyé les clés dans le but de forcer les clients � Certificats émis par Symantec pour passer aux certificats émis par Comodo. Bien que DigiCert ait repris l’émission de certificats de Symantec entreprise, Trustico n’est pas considéré comme un revendeur.

Dans une déclaration, les responsables de Trustico ont déclaré que les clés avaient été récupérées de “stockage à froid”, un terme qui désigne généralement hors ligne systèmes de stockage.

“Trustico permet aux clients de générer une signature de certificat Demande et clé privée pendant le processus de commande “, le relevé lis. “Ces clés privées sont stockées dans une chambre froide, pour le but de la révocation. ”

La discussion soulève également de nouvelles questions sur les systèmes Symantec. respect des règles contraignantes pour l’industrie à l’époque où c’était une autorité de certification de confiance du navigateur qui a permis à Trustico revendre ses certificats. Sous les exigences de base pour la Autorité de certification Forum Navigateur, les revendeurs ne sont pas autorisés � archiver les clés privées du certificat. L’email soulève le spectre Trustico faisait exactement cela quand il a offert d’accepter demandes de signature de certificat sur son site Web. En tant que titulaire du certificat racine utilisé pour signer les certificats TLS, Trustico était revente, Symantec était responsable en dernier ressort de cette condition était respectée, bien qu’en toute justice, il y avait probablement aucun moyen pour Symantec de détecter une violation. TrusticoLes responsables ont ensuite mis en cause la sécurité de Symantec. Mercredi quand ils ont exprimé de sérieuses inquiétudes à propos de Symantec traitement d’un compte Trustico avait l’habitude de revendre le certificats.

“Au cours des nombreuses discussions de la semaine dernière, nous vous l’avons présenté que nous croyons que Symantec a géré notre compte de manière � par lequel il avait été compromis “, ont écrit les responsables de Trustico. Ils ont poursuivi: “Nous croyons que les commandes passées via notre Symantec compte étaient à risque et étaient mal gérés. Nous avons été interroger Symantec sans répondre sur les éléments destinés � à peu près un an. Symantec a simplement ignoré nos préoccupations et a semblé les enterrer sous le prochain numéro qui se pose. ”

Les responsables de Symantec n’ont pas répondu à un e-mail demandant un commentaire. pour ce post.

Le flap de mercredi arrive après que Google et Mozilla aient passé des années essayer de mieux sécuriser la sécurité des certificats de leurs navigateurs confiance. La transparence de DigiCert et son adhésion à la ligne de base Les exigences démontrent que de nombreuses autorités de certification et les revendeurs agissent de bonne foi. Malheureusement, la façon dont le Le processus d’émission de certificats TLS d’Internet fonctionne en un seul point échec est tout ce qu’il faut pour créer des compromis qui mettent en danger la système entier. Les lecteurs peuvent s’attendre à ce que Google et Mozilla dépensent un temps et des ressources considérables au cours des prochaines semaines pour démêler la panne qui est apparue mercredi.

Lectures complémentaires

Le site Web de Trustico s’assombrit après que quelqu’un a laissé tomber une faille critique TwitterUpdate: Plusieurs heures après la publication de ce message, Le site Web de Trustico s’est déconnecté après l’envoi d’un expert en sécurité Web une vulnérabilité critique sur Twitter. La faille, dans un trustico.com fonction de site Web permettant aux clients de confirmer que les certificats correctement installés sur leurs sites, ont semblé permettre aux attaquants de exécuter du code malveillant sur les serveurs Trustico avec “root” libre privilèges.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: