The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от opennews (??) on 01-Мрт-18, 11:01 
Компания DigiCert сегодня отзовёт (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и  удостоверяющим центром.


В начале февраля компания Trustico  обратилась (https://groups.google.com/forum/#!msg/mozilla.dev.security.p...) к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).
В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента.  В середине февраля Trustico  разорвала (https://www.businesswire.com/news/home/20180214006519/en/Tru...) контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.


После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам  сразу удалять закрытые ключи после их передачи клиенту.


Отправленное сообщение не оставило DigiCert выбора и было принято решение (https://www.digicert.com/blog/digicert-statement-trustico-ce.../) по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.


Компания DigiCert напрямую направила (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) уведомление о скорой блокировке обладателям проблемных сертификатов, что вызвало недовольство со стороны Trustico, так как данная рассылка была выполнена без какого-то совместного согласования и в обход посредника,   взаимодействующего с клиентом. Trustico со своей стороны также выполнила рассылку в которой заявила о готовности бесплатно предоставить новые сертификаты от другого удостоверяющего центра.


Под вопросом остаётся то, как закрытые ключи оказались в руках Trustico. Данная компания отказалась (https://groups.google.com/d/msg/mozilla.dev.security.policy/...) раскрывать информацию об утечке, поэтому остаются только предположения. Заявлено только то, что запрос на отзыв 50 тысяч сертификатов обусловлен проблемами с некорректной организацией работы инфраструктуры удостоверяющего центра Symantec, который недавно перешёл в руки DigiCert.

Данное объяснение было поставлено под сомнение, так как в подобной ситуации было бы логичным организовать плавный перевод клиентов на новые сертификаты, а не инициировать их экстренный отзыв. Также таки и не раскрыта информации о том, каким образом закрытые ключи попали в руки Trustico. Наиболее вероятной выглядит гипотеза (https://www.reddit.com/r/sysadmin/comments/80uaq3/digicert_c.../) о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-интерфейса.

Ожидается, что инцидент послужит толчком  к пересмотру взаимодействия удостоверяющих центров с реселлерами, ужесточению правил доставки сертификатов и выработке методов, которые исключат доступ реселлера к выдаваемым клиентам закрытым ключам.

URL: https://www.theregister.co.uk/2018/03/01/trustico_digicert_s.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48166

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:01 
А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям этих сертификатов? И какие еще есть подводные в этом деле?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  –3 +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:27 
> А инфа то какая-нибудь может утекать о деятельности сайта, непосредственно выдавателям
> этих сертификатов? И какие еще есть подводные в этом деле?

software_reporter_tool.exe от Google, исправно передает все что необходимо, тому, сам знаешь кому.  

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +16 +/
Сообщение от XoRe (ok) on 01-Мрт-18, 11:26 
Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и ерепенятся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +5 +/
Сообщение от XoRe (ok) on 01-Мрт-18, 11:28 
Матерь божья! Они продают сертификаты comodo по 79$! Такого дорогого воздуха ещё поискать.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:29 
> Умиляет, как в 2018(!) году реселлеры(!) платных(!) ssl сертификатов надувают щеки и
> ерепенятся.

Может рыльце в пушку? А тут канделябр (https://www.opennet.ru/opennews/art.shtml?num=48159) на подходе!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +5 +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:35 
>Наиболее вероятной выглядит гипотеза о том, что сертификаты не были удалены с сервера Trustico из-за недоработки online-сервиса для заказа сертификатов. В пользу данного предположения указывает то, что все скомпрометированные сертификаты были сгенерированы при помощи web-сервиса.

23 тысячи ССБЗ, которые отдают ключи сервису от васяна

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +2 +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:45 
> предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту

такой принцип везде??

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +5 +/
Сообщение от Аноним (??) on 01-Мрт-18, 11:51 
А разве не у себя на локалхосте генерируешь ключ/серт, а в CA отправляешь только серт, чтоб его подписали и именно за это и платишь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +4 +/
Сообщение от 7936957974957965956959962 on 01-Мрт-18, 12:06 
Так делают только продвинутые пользователи.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +4 +/
Сообщение от noname.htm (ok) on 01-Мрт-18, 12:07 
Отправляется CSR, да, а закрытый ключ остаётся у тебя. Но для некоторых это слишком сложно и рынок, разумеется, предлагает решение, когда закрытый ключ и серт генерится и сразу подписывается прямо у провайдера услуги. Таким образом, в пару кликов вы получаете готовые к использованию файлики.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +8 +/
Сообщение от nobody (??) on 01-Мрт-18, 13:45 
Это ж знать надо, как минимум, что такое "закрытый ключ". Слишкамсложна...
"Знать" сегодня не в почёте
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

39. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от drTr0jan on 03-Мрт-18, 04:34 
Андроид (и не только) не умеет пользовательскими инструментами генерировать закрытый ключ и формировать CSR.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

40. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 11:13 
А ты не умеешь пользоваться запятыми. И может быть объяснишь, зачем тебе на андроиде сертификат понадобился?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от drTr0jan on 03-Мрт-18, 14:54 
Какие ещё запятые? Это простое предложение без оборотов и вводных слов.
Сертификат понадобился для аутентификации TLS.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

15. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  –1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 12:37 
> После требований предоставить доказательство компрометации
> требований

Что?!!

> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Что за...

То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло вулкана вместе с бэкапами), то  мне его уже не отозвать? Как вообще должны оперировать нормальные реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств" кроме письма с поздравлениями от хакера Вована?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  –1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 12:55 
балда, хрустько предъявило серты, которые должны были быть у клиентов, а не у него, это очевидная компроментация ключей. А на вопрос "как они у вас оказались?" они предсказуемо молчат, потому что не могут теперь признаться, что сами их стырили.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 01-Мрт-18, 12:56 
>предъявило серты,

сорри, не серты, а приватные ключи

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 13:19 
И? C какой стати они должны что-то _доказывать_?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 01-Мрт-18, 13:36 
Очевидно, потому что оно не является владельцем сертов и ключей, а только перепродаёт их. Если левый вася заявит, что ты профукал свои ключи, он ведь должен будет предъявить доказательства, не так ли?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  –2 +/
Сообщение от Аноним (??) on 01-Мрт-18, 14:29 
> не могут теперь признаться, что сами их стырили

Сегодня мне приснился сон и я решил вам рассказать об этом.

В Trustico пришли "люди в черном" (которые из фильма, во сне были те же актеры) и сказали что нужно сгенерировать сертификаты и вам их подписать. Дали список, там было около 50тыс хостов. Trustico выполнила требования и позже когда люди в черном (из фильма) разрешили, Trustico приналясь "защищать свое честное имя" обратившись в начале февраля к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico).  В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo.

После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч сертификатов. Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

Отправленное сообщение не оставило DigiCert выбора и было принято решение по оперативному отзыву всех 23 тысяч сертификатов, закрытые ключи для которых были предоставлены в письме. Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.

Не воспринимайте серьезно, это был просто сон.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 13:43 
>> После требований предоставить доказательство компрометации
>> требований
> Что?!!
>> Остальные 27 тысяч сертификатов, для которых не были предоставлены доказательства, пока остаются действующими.
> Что за...
> То есть, если я не могу прислать ключ от моего сертификата (например,
> потому что он упал в жерло вулкана вместе с бэкапами), то
>  мне его уже не отозвать? Как вообще должны оперировать нормальные
> реселлеры (которые не хранят ключи), если у жертвы нет никаких "доказательств"
> кроме письма с поздравлениями от хакера Вована?

http://www.linux-ink.ru/static/SL.5.1_Docs/Russification/Doc...

B.4. Создание сертификата отзыва
После того как вы сгенерировали пару ключей, вам необходимо создать и сертификат отзыва для открытого ключа. Если вы забудете свою парольную фразу или она будет скомпрометирована, вы можете опубликовать этот сертификат, чтобы проинформировать других пользователей, что ваш открытый ключ более недействителен.

[Note]    Замечание
Когда вы генерируете сертификат отзыва, это не означает, что вы отзываете свой открытый ключ, просто вы подготавливаете сертификат на случай, если ваша парольная фраза будет узнана, или что-то случится с вашим жестким диском. Как только что-то случилось, вы можете сразу воспользоваться сертификатом отзыва, чтобы аннулировать действие открытого ключа.

Для тех, кто читает вашу корреспонденцию, ваша подпись будет действительной до тех пор, пока вы не воспользуетесь функцией «отзыва». Для генерации такого рода сертификата воспользуйтесь опцией --gen-revoke:

gpg --output revoke.asc --gen-revoke  you@example.com

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 03-Мрт-18, 11:17 
GnuPG-то тут причём?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от нах on 01-Мрт-18, 14:09 
> То есть, если я не могу прислать ключ от моего сертификата (например, потому что он упал в жерло
> вулкана вместе с бэкапами),

то тебе будет довольно сложно доказать, что это действительно _твой_ сертификат, и ты имеешь право его отзывать, да.
Но у большинства CA - все еще возможно после стандартной процедуры верификации, может чуть более детальной - например, они таки позвонят.

Но только ты не волнуйся так - CRL'ы не поддерживаются ни одним современным браузером - немодно, несовременно, немолодежно, занимало ценную полосу траффика, мешая телеметрии.
Поэтому если ты не можешь использовать, к примеру, ocsp - хакер васян и после "отзыва" вполне может продолжать употреблять твой сертификат, юзер ничего лишнего не узнает.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Crazy Alex (ok) on 01-Мрт-18, 15:25 
Что значит "не можешь"? OCSP Stapling кто-то из браузеров коварно вырезал?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +2 +/
Сообщение от .. on 01-Мрт-18, 15:19 
вот тут как раз в яблочко
https://www.opennet.ru/openforum/vsluhforumID3/113684.html#51
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Kuromi (ok) on 01-Мрт-18, 16:12 
Ну обалдеть теперь. Только в Firefox Nightly началась веселуха из из-за почти что 10 тысячи сайтов умерших из-за отзыва доверия бывшим Симантековским сертификатам (причем у многих был HSTS и это не позволяет такие сатй даже в исключения добавить) - https://bugzilla.mozilla.org/show_bug.cgi?id=1434300#c81 так теперь ЕЩЕ 23 тысячи стухнут?

Причем у многих был HSTS и это не позволяет такие сайт даже в исключения добавить, среди них много банков, так что срочно пришлось придумывать скрытую настройку для выключения блокировки https://bugzilla.mozilla.org/show_bug.cgi?id=1437754

This adds the unregistered pref "security.pki.distrust_ca_policy" which, if set to 0, will re-enable the Symantec roots; it defaults to 1, which enforces the graduated distrust from Bug 1409257.


Что-то протухло все в сертификатном бизнесе...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +2 +/
Сообщение от Truth on 01-Мрт-18, 16:26 
то есть макаки в продакшене ленятся обновить сертификаты (ибо о том, что доверие к ним прекратится, информировали уже около года), а виноват огнелис?
Ну давайте вообще уберем проверку сертификатов - а то, вон, некоторые забывают их продлять, из-за чего сайты по хттпс больше не работают. Не порядок, товарищи!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Kuromi (ok) on 01-Мрт-18, 21:07 
К Мозилле-то претензий нет. Есть претензии к владельцам сайтов не чешущимся обновить сертификаты и которые явно не почешутся пока тот же ФФ60 не выйдет в релиз и у массы народа ВНЕЗАПНО отвалится уйма сайтов и еще претензии к удостоверяющим центрам, которые как выясняется занимаются непойми чем.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от Аноним (??) on 01-Мрт-18, 19:14 
Этот HSTS вообще достал со всех сторон
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +/
Сообщение от ойой on 01-Мрт-18, 16:38 
>Наличие закрытых ключей для клиентских сертификатов у третьего лица является существенным нарушением правил, которые предписывают удостоверяющим центрам сразу удалять закрытые ключи после их передачи клиенту.

А в соседней ветке народ топит за то, что приватные ключи пользователь генерирует сам и никому не передаёт)

> https://www.opennet.ru/openforum/vsluhforumID3/113684.html#50

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 00:04 
только вот народец пошел нынче неграмашный, и многие подписывальщики сертификатов предлагают заодно и сгенерить все необходимые файлы.

Админ в здравом уме, конечно, такой услугой пользоваться не будет. Но.....

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 02-Мрт-18, 09:53 
В дополнение к "поколению Ubuntu" админить пошло "поколение systemd". То ли еще будет, хе-хе.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

34. "23 тысячи SSL-сертификатов будут отозваны из-за инцидента в ..."  +1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 18:14 
Заработок на воздухе дает сбои.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor