23,000 certificados HTTPS eliminados después de correos electrónicos de CEO claves privadas

23,000 certificados HTTPS eliminados después de que el CEO envía por correo electrónico claves privadasUNA mpliar vida no correspondida

Un gran polvo en un foro de discusión en Internet está despegando preguntas preocupantes sobre la seguridad de algunos navegadores confiables Certificados HTTPS cuando reveló al CEO de un certificado El revendedor envió por correo electrónico a un socio las claves privadas confidenciales por 23,000 Certificados TLS.

Otras lecturas

Google lleva a Symantec a la leñera por emitir incorrectamente 30,000 HTTPS certs [actualizado] El correo electrónico fue enviado el martes por el CEO de Trustico , un revendedor en el Reino Unido de certificados TLS emitidos por autoridades de certificación confiables del navegador Comodo y, hasta hace poco, Symantec Fue enviado a Jeremy Rowley, un vicepresidente ejecutivo. en DigiCert, una autoridad de certificación que adquirió Symantec negocio de emisión de certificados luego de que Symantec fuera sorprendido reglas vinculantes de la industria, lo que llevó a Google a desconfiar de Symantec certificados en su navegador Chrome. En comunicaciones anteriores esto mes, Trustico notificó a DigiCert que 50,000 emitidos por Symantec los certificados que Trustico había revendido deberían ser revocados en masa debido a preocupaciones de seguridad.

Sorprendentemente arrogante

Cuando Rowley solicitó pruebas de que los certificados estaban comprometidos, el CEO de Trustico envió por correo electrónico las claves privadas de 23,000 certificados, según una cuenta publicada en un foro de políticas de seguridad de Mozilla. El informe produjo un jadeo colectivo entre muchos de seguridad practicantes que dijeron que demostró un escandalosamente arrogante tratamiento de los certificados digitales que forman uno de los más fundamentos básicos de la seguridad del sitio web.

En términos generales, las claves privadas para los certificados TLS deberían nunca será archivado por revendedores e, incluso en los raros casos en que dicho almacenamiento es permisible, deben estar bien protegidos. AEl CEO puede adjuntar las claves de 23,000 certificados a un el correo electrónico plantea inquietantes preocupaciones de que ese tipo de mejores prácticas No fueron seguidos. (No hay indicios de que el correo electrónico esté encriptado, tampoco, aunque ni Trustico ni DigiCert proporcionaron ese detalle al responder preguntas.) Otros críticos sostienen Trustico envió las llaves por correo electrónico en un intento de obligar a los clientes con Certificados emitidos por Symantec para pasar a certificados emitidos por Comodo. Aunque DigiCert se hizo cargo de la emisión del certificado de Symantec negocio, no cuenta con Trustico como revendedor.

En un comunicado, los funcionarios de Trustico dijeron que las llaves fueron recuperadas de “almacenamiento en frío”, un término que generalmente se refiere a fuera de línea sistemas de almacenamiento

“Trustico permite a los clientes generar una firma de certificado Solicitud y clave privada durante el proceso de pedido “, la declaración leer. “Estas claves privadas se almacenan en almacenamiento en frío, para el propósito de la revocación “.

La discusión también plantea nuevas preguntas sobre Symantec adhesión a las normas vinculantes de la industria durante el tiempo en que era autoridad de certificación de confianza del navegador que permitió a Trustico revender sus certificados. En virtud de los requisitos de referencia para Certificate Authority Browser Forum, los revendedores no pueden certificado de archivo de claves privadas. El correo electrónico plantea el espectro Trustico había estado haciendo exactamente eso cuando se ofreció a aceptar solicitudes de firma de certificados en su sitio web. Como titular de la certificado raíz utilizado para firmar los certificados TLS Trustico fue revender, Symantec fue en última instancia responsable de garantizar esto se seguía el requisito, aunque para ser justos, había probablemente no haya forma de que Symantec detecte una violación. Trusticolos funcionarios además cuestionaron la seguridad de Symantec en El miércoles, cuando expresaron serias preocupaciones sobre Symantec manejo de una cuenta que Trustico utilizó para revender certificados

“Durante nuestras muchas discusiones durante la semana pasada se lo presentamos que creemos que Symantec ha operado nuestra cuenta de una manera por lo cual había sido comprometido “, escribieron los funcionarios de Trustico. Continuaron: “Creemos que los pedidos realizados a través de nuestro Symantec la cuenta estaba en riesgo y estaba mal administrada. Hemos sido cuestionar a Symantec sin respuesta en relación con los artículos para como un año. Symantec simplemente ignoró nuestras preocupaciones y pareció enterrarlos en el próximo número que surgió “.

Los funcionarios de Symantec no respondieron a un correo electrónico en busca de comentarios para esta publicación

La aleta del miércoles se produce después de que Google y Mozilla hayan pasado años tratando de asegurar mejor la seguridad de los certificados de sus navegadores confiar. Transparencia y adherencia de DigiCert a la línea de base Los requisitos demuestran que muchas autoridades de certificación y los revendedores actúan de buena fe. Desafortunadamente, la forma en que El proceso de emisión de certificados TLS de Internet funciona, un solo punto de fracaso es todo lo que se necesita para crear compromisos que pongan en peligro la sistema entero. Los lectores pueden esperar que Google y Mozilla gasten considerable tiempo y recursos en las próximas semanas desentrañando el desglose que salió a la luz el miércoles.

Otras lecturas

El sitio web de Trustico se oscurece después de que alguien deja caer una falla crítica Actualización de Twitter: varias horas después de que esta publicación se publicara, El sitio web de Trustico se desconectó luego de que un experto en seguridad web publicara Una vulnerabilidad crítica en Twitter. La falla, en un trustico.com característica del sitio web que permitía a los clientes confirmar los certificados instalado correctamente en sus sitios, parecía permitir a los atacantes ejecutar código malicioso en servidores Trustico con “root” sin restricciones privilegios

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: