1 марта клиенты реселлера SSL-сертификатов Trustico узнали, что 23 тыс. сертификатов будут аннулированы в течение суток. Отзыв инициировал центр сертификации DigiCert — это было сделано потому, что в распоряжении Trustico оказались закрытые SSL-ключи клиентов.
Подробнее о том, что случилось, расскажем далее.
/ Pexels / Skitterphoto / CC
Действующие лица
Trustico продает сертификаты Symantec, GeoTrust, Thawte и RapidSSL. Ранее всеми этими сертификатами управлял Symantec, однако с 1 декабря 2017 года за работу с ними отвечает CA DigiCert. В прошлом году Google запустили процедуру прекращения доверия к сертификатам, выданным с использованием старой инфраструктуры Symantec, из-за того, что в компании не смогли обеспечить должный контроль за соблюдением стандартов обслуживания.
В результате Symantec решили продать сертификационный бизнес компании DigiCert, чтобы «восстановить доверие» и соблюсти требования Google, — об этом мы рассказывали ранее.
Ситуация с Trustico
28 февраля Trustico потребовал у DigiCert аннулировать сертификаты Symantec из-за их компрометации. Когда в DigiCert попросили предоставить подробности, представители Trustico просто выслали им по электронной почте 23 тыс. закрытых ключей сертификатов клиентов.
В результате у DigiCert не осталось выбора — центр запустил процесс отзыва сертификатов, отправив уведомление каждому владельцу сертификата, секретные ключи которых фигурировали в письме Trustico. При этом в DigiCert отмечают, что процедура аннулирования сертификатов никак не связана с прекращением доверия Google и Mozilla, которая должна начаться 15 марта.
Откуда взялись SSL-ключи
Начало истории было положено еще в первой половине февраля. Тогда Trustico попросили DigiCert отозвать сразу 50 тыс. Сертификатов, якобы они были скомпрометированы. Центр сертификации не стал этого делать — у реселлера не было подтверждающих аргументов.
Немного позже на сайте Trustico появилась информация об отказе от SSL-сертификатов Symantec, GeoTrust, Thawte и RapidSSL. Тогда глава Trustico Зейн Лукас (Zane Lucas) и отправил вице-президенту DigiCert Джереми Роули (Jeremy Rowley) копии секретных ключей по электронной почте в качестве подтверждения компрометации. По словам Роули, сперва в Trustico не раскрыли, откуда взялись эти секретные ключи. Однако позже Зейн сделал заявление, из которого стало понятно, что ключи держатся у Trustico в «холодном хранилище».
В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей. При этом пользователи Trustico не знали о том, что их ключи доступны кому-то еще, в том числе генеральному директору компании.
/ Flickr / Jeremy Segrott / CC
Реакция сообщества и последствия
Подобное поведение Trustico породило мнение, что в компании специально скомпрометировали ключи, чтобы запустить процедуру отзыва SSL/TLS-сертификатов Symantec и начать заниматься другими продуктами. Подтверждает это и тот факт, что до инцидента Trustico начали продавать сертификаты конкурента DigiCert — Comodo.
Также беспокойство сообщества вызвал сам факт пересылки ключей по электронной почте. Так как неизвестно, был ли канал, по которым передавались сообщения, защищенным. Поэтому не удивительно, что на инфраструктуру реселлера обратили внимание специалисты по информационной безопасности.
И проблемы в работе сервиса были найдены. Один из пользователей Twitter опубликовал информацию о критической уязвимости Trustico. Правда, это привело к тому, что сайт реселлера на какое-то время был выведен из строя.
На сайте компании имелся инструмент, который позволял владельцам сайтов проверять корректность установки сертификатов. И он содержал ошибку. Благодаря ей в форму проверки можно было внедрить свои команды и выполнить на серверах Trustico вредоносный код с root-правами. При этом, как утверждает сам исследователь, проблема была известна довольно давно, так как всю информацию он нашел в открытых источниках в интернете.
Сейчас Trustico грозят проблемы юридического характера. Пользователи Twitter отмечают, что Trustico обслуживает ряд крупных клиентов, в том числе одно из основных кредитных бюро в США Equifax. А репутационные проблемы из-за всех вопросов к этой ситуации и неоднозначных действий руководства могут стоить реселлеру крупных заказов.
Материалы по теме из блога 1cloud:
- Зачем нужны SSL-сертификаты: расскажем простыми словами
- Почему HTTP-сайты будут считаться небезопасными?
- Meltdown и Spectre: новогодняя процессорная уязвимость
- Типы SSL-сертификатов: какой сертификат выбрать
- Получение OV и EV сертификата — что нужно знать?
Автор: 1cloud