Slo-Tech - Britanski posrednik certifikatov HTTPS Trustico je te dni zakuhal pravi škandal, saj je objavil zasebne ključe 23.000 certifikatov svojih strank, s čimer je povzročil množičen preklic. Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani, zaradi česar bodo letos brskalniki nehali zaupati njegovim certifikatom. Ko se bo to zgodilo, bodo zaupanja nevredni tudi Trusticovi certifikati, zato je podjetje preventivno reagiralo in šlo na nož.
Trustico je od DigiCerta zahteval, da prekliče izdane certifikate, s čimer bi svoje stranke prisilil, da bi jih zamenjale za Comodove certifikate. DigiCert tega ni želel storiti, češ da lahko preklic zahteva le imetnik certifikata, sicer pa je treba predložiti dokaz, da so bili dejansko kompromitirani. Trustico se je potem odzval skrajno neverjetno, in sicer je DigiCertu poslal več kot 23.000 zasebnih ključev, ki so ustrezali certifikatom njegovih strank. To je podobno, kot če bi v dokaz, da znate narediti bombo, razstrelili lasten stanovanjski blok. DigiCert tedaj ni imel druge možnosti, kakor da certifikate prekliče. Hkrati pa je - tega pa Trustico ni pričakoval - obvestil še vse njegove stranke, da so certifikati sedaj preklicani in neveljavni. Še vedno pa ostaja 27.000 certifikatov, ki pa jih DigiCert ni preklical, ker zanje Trustico ni dokazal, da bi bili kompromitirani.
Zgodba seveda tu ni končana. Da je imel Trustico shranjenih 24.000 zasebnih ključev svojih strank, je nedopustna nevarnost. Zasebne ključe smejo imeti le lastniki domen, katere podpisujejo, saj se lahko sicer vsak lastnik pretvarja. Trustico ne nudi nobenih storitev, za katere bi potreboval te ključe. Trustico seveda teh ključev ni zlorabljal, prav tako ni nobenih dokazov, da bi mu kdaj ušli ali bi jih izkoristili hekerji. Toda že samo hranjenje je problematično, kaj šele pošiljanje po elektronski pošti.
Novice » Varnost » Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!
Truga ::
honestly it's like a fucking laurel and hardy sketch
trustico: hey boss man we gotta get revoke fifty thousand certs, they all got compromised
digicert: [sputtering] fifty...thousand? how on earth did fifty thousand certificates get compromised? are you sure they've been compromised?
trustico: see for youself, boss [spills 23k private keys on their desk]
PaX_MaN ::
To bi moral biti konec posla za Trustico, kak odgovoren pa v zapor...
Tam se nekaj preklajo kdo sploh je bil upravičenec do teh ključev, tkoda če je bil Trustico un k jih je kupu/mel na escrow/drugo podobno, pol, jah, ne bo cigare?
Toda že samo hranjenje je problematično, kaj šele pošiljanje po elektronski pošti.
MJU prav da ni, in hkrati da je:
Pred morebitnimi posledicami svari tudi ministrstvo za javno upravo, ki vidi celo nevarnost kibernetskih napadov, menda pa tudi ministrstvo za infrastrukturo.
Zgodovina sprememb…
- spremenilo: PaX_MaN ()
ender ::
Trustico ni imel nobenega escrowa, samo na spletni strani so imeli generator zasebnih ključev in CSRjev, ki je deloval na njihovem strežniku.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
MrStein ::
Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani
A Comodo pa je OK? V preteklosti so imeli nemalo kiksov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
To je podobno, kot če bi v dokaz, da znate narediti bombo, razstrelili lasten stanovanjski blok.
Ne, podobno je, kot če bi prinesli in na mizo dali delujočo bombo, s prižganim fitiljem. (ki bi ga potem ugasnili)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )Oddelek: Informacijska varnost | 20903 (17468) | MrStein |
» | Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!Oddelek: Novice / Varnost | 5136 (3407) | c3p0 |
» | privacy error NET::ERR_CERT_AUTHORITY_INVALIDOddelek: Pomoč in nasveti | 1232 (1077) | 3CPm0Tra |
» | Ob vstopu na stran spletne banke mi ne ponudi okna s certifikatomOddelek: Pomoč in nasveti | 9231 (6915) | mepa |
» | Vdor v Sony odnesel tudi certifikate, nesnaga že tuOddelek: Novice / Varnost | 5928 (3848) | tomaz88 |