Szerző: Gálffy Csaba

2018. március 01. 14:19:00

Saját tanúsítványait végezte ki a brit Trustico

Új szolgáltatóhoz akarta átterelni ügyfeleit egy brit tanúsítvány-értékesítő, ezért érvényteleníteni akarta a meglévőket. Rövid úton sikerült.

Foghatják a fejüket a Trustico tanúsítvány-értékesítő ügyfelei - a cég egy erősen vitatható lépéssel 23 ezer tanúsítvány érvénytelenítését váltotta ki, ezeket 24 órán belül cserélniük kell az érintett ügyfeleknek.

A történet háttere a Symantec-féle tanúsítványok bizalommegvonása, ahogy arról korábban részletesen beszámoltunk, a Google megvonja e tanúsítványoktól hamarosan a bizalmat, ezzel ezek gyakorlatilag értéktelenné válnak. Ez nyilván tanúsítványcserét jelent rengeteg szereplőnél, így a Trustico ügyfeleinél is. Jelen állás szerint úgy tűnik, a Trustico ezeket az ügyfeleket szerette volna más kibocsátóhoz, a Comodóhoz átmozgatni, ezért kérte a DigiCerttől (a Symantec tanúsítványkibocsátó részlegét felvásárló cégtől) az érintett certificate-ek érvénytelenítését. A DigiCert ezt természetesen megtagadta, a tanúsítványokat a cég nem vonhatja vissza önkényesen, azokat az ügyfelek saját belátásuk szerint használhatják, ilyen döntést helyettük az értékesítő Trustico nem hozhat.

ONLINE Scrum és gépi tanulás meetupjaink indulnak! Jelentkezik az ingyenes HWSW free!, immár online formátumban.

A DigiCert saját állítása szerint arról tájékoztatta az értékesítő Trusticót, hogy visszavonásra csak egyetlen esetben kerülhet sor, amennyiben egy tanúsítvány privát kulcsa kiszivárog és annak biztonsága ezzel lenullázódik. Ilyenkor egyébként a CA rendszer alapvető szabályai szerint a kibocsátónak 24 óra után kötelessége is visszavonni a tanúsítványt, választási lehetősége ebben az esetben nincs is.  A DigiCert hivatalos állásfoglalása itt olvasható. A Trustico itt publikálta saját álláspontját.

A Trustico ezt tudomásul vette és tájékoztatta a DigiCertet, hogy a kérdéses tanúsítványok biztonsága kompromittálódot, ezért érvénytelenítésük szükséges. A DigiCert ezt csak úgy bemondásra nem hitte el, így a Trustico laza mozdulattal emailben átküldte a DigiCertnek mintegy 23 ezer tanúsítvány privát kulcsát, ezzel kiváltva-kikényszerítve azok automatikus érvénytelenítését. A DigiCert lépett is, tájékoztatta az érintett ügyfeleket levélben, majd hozzáfogott a tanúsítványok kivonásának.

Felmerül persze a kérdés, hogy hogyan kerültek ezek a kulcsok egyáltalán a Trusticóhoz. A cég tájékoztatása szerint a weboldalán keresztül generált tanúsítványokhoz tartozó privát kulcsokat a cég rendszere (az iparági gyakorlattól eltérően) rögzítette, így azok végig a vállalkozás birtokában voltak.

Vita van

A DigiCert a történteknek megfelelően pontosan arról tájékoztatta az ügyfeleket, ami történt: biztonsági incidens, amely a szabálykönyv szerint a tanúsítványok automatikus érvénytelenítéséhez vezet. A Trustico azonban kiborult azon, hogy a vásárlóikat a tanúsítványok kiállítója, a DigiCert közvetlenül értesítette a történtekről és felrótta, hogy "nem engedélyeztük, hogy a DigiCert kapcsolatba lépjen a vásárlóinkkal és nem hagytuk jóvá a levél tartalmát".

A cég mindenesetre arról tájékoztatta az ügyfeleket a The Register szerint, hogy ingyenes, immár a Comodótól származó tanúsítványokkal fogja pótolni az érvénytelenített tanúsítványokat - ezekkel persze a változatos informatikai rendszerek üzemeltetőinek azért lesz dolguk.

A Mozilla levelezőlistájára írt levélben Jeremy Rowley, a DigiCert üzletfejlesztési és jogi igazgatója érdekes kérdéseket vet fel. A tanúsítvány-rendszer jelenlegi szabályrendszere ugyanis a történet több pontjára sem ad világos leírást - például arra, hogy az értékesítő (reseller) a tanúsítvány felhasználójának (subscriber) számít-e, és kérheti-e a rajta keresztül kibocsátott tanúsítványok érvénytelenítését. Rowley szerint cége a fenti történetben igyekezett a szabályok szellemiségét követni, de szélesebb iparági konszenzusra lehet szükség a hasonló viták elkerülése érdekében.

a címlapról