Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Britanski posrednik certifikatov HTTPS Trustico je te dni zakuhal pravi škandal, saj je objavil zasebne ključe 23.000 certifikatov svojih strank, s čimer je povzročil množičen preklic. Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani, zaradi česar bodo letos brskalniki nehali zaupati njegovim certifikatom. Ko se bo to zgodilo, bodo zaupanja nevredni tudi Trusticovi certifikati, zato je podjetje preventivno reagiralo in šlo na nož.

Trustico je od DigiCerta zahteval, da prekliče izdane certifikate, s čimer bi svoje stranke prisilil, da bi jih zamenjale za Comodove certifikate. DigiCert tega ni želel storiti, češ da lahko preklic zahteva le imetnik certifikata, sicer pa je treba predložiti dokaz, da so bili dejansko kompromitirani. Trustico se je potem odzval skrajno neverjetno, in sicer je DigiCertu poslal več kot 23.000 zasebnih ključev, ki so ustrezali certifikatom njegovih strank. To je podobno, kot če bi v dokaz, da znate narediti bombo, razstrelili lasten stanovanjski blok. DigiCert tedaj ni imel druge možnosti, kakor da certifikate prekliče. Hkrati pa je - tega pa Trustico ni pričakoval - obvestil še vse njegove stranke, da so certifikati sedaj preklicani in neveljavni. Še vedno pa ostaja 27.000 certifikatov, ki pa jih DigiCert ni preklical, ker zanje Trustico ni dokazal, da bi bili kompromitirani.

Zgodba seveda tu ni končana. Da je imel Trustico shranjenih 24.000 zasebnih ključev svojih strank, je nedopustna nevarnost. Zasebne ključe smejo imeti le lastniki domen, katere podpisujejo, saj se lahko sicer vsak lastnik pretvarja. Trustico ne nudi nobenih storitev, za katere bi potreboval te ključe. Trustico seveda teh ključev ni zlorabljal, prav tako ni nobenih dokazov, da bi mu kdaj ušli ali bi jih izkoristili hekerji. Toda že samo hranjenje je problematično, kaj šele pošiljanje po elektronski pošti.