Mellékleteink: HUP | Gamekapocs
Keres

Saját tanúsítványait végezte ki a brit Trustico

Gálffy Csaba, 2018. március 01. 14:19

Új szolgáltatóhoz akarta átterelni ügyfeleit egy brit tanúsítvány-értékesítő, ezért érvényteleníteni akarta a meglévőket. Rövid úton sikerült.

hirdetés

Foghatják a fejüket a Trustico tanúsítvány-értékesítő ügyfelei - a cég egy erősen vitatható lépéssel 23 ezer tanúsítvány érvénytelenítését váltotta ki, ezeket 24 órán belül cserélniük kell az érintett ügyfeleknek.

A történet háttere a Symantec-féle tanúsítványok bizalommegvonása, ahogy arról korábban részletesen beszámoltunk, a Google megvonja e tanúsítványoktól hamarosan a bizalmat, ezzel ezek gyakorlatilag értéktelenné válnak. Ez nyilván tanúsítványcserét jelent rengeteg szereplőnél, így a Trustico ügyfeleinél is. Jelen állás szerint úgy tűnik, a Trustico ezeket az ügyfeleket szerette volna más kibocsátóhoz, a Comodóhoz átmozgatni, ezért kérte a DigiCerttől (a Symantec tanúsítványkibocsátó részlegét felvásárló cégtől) az érintett certificate-ek érvénytelenítését. A DigiCert ezt természetesen megtagadta, a tanúsítványokat a cég nem vonhatja vissza önkényesen, azokat az ügyfelek saját belátásuk szerint használhatják, ilyen döntést helyettük az értékesítő Trustico nem hozhat.

A DigiCert saját állítása szerint arról tájékoztatta az értékesítő Trusticót, hogy visszavonásra csak egyetlen esetben kerülhet sor, amennyiben egy tanúsítvány privát kulcsa kiszivárog és annak biztonsága ezzel lenullázódik. Ilyenkor egyébként a CA rendszer alapvető szabályai szerint a kibocsátónak 24 óra után kötelessége is visszavonni a tanúsítványt, választási lehetősége ebben az esetben nincs is.  A DigiCert hivatalos állásfoglalása itt olvasható. A Trustico itt publikálta saját álláspontját.

A Trustico ezt tudomásul vette és tájékoztatta a DigiCertet, hogy a kérdéses tanúsítványok biztonsága kompromittálódot, ezért érvénytelenítésük szükséges. A DigiCert ezt csak úgy bemondásra nem hitte el, így a Trustico laza mozdulattal emailben átküldte a DigiCertnek mintegy 23 ezer tanúsítvány privát kulcsát, ezzel kiváltva-kikényszerítve azok automatikus érvénytelenítését. A DigiCert lépett is, tájékoztatta az érintett ügyfeleket levélben, majd hozzáfogott a tanúsítványok kivonásának.

Felmerül persze a kérdés, hogy hogyan kerültek ezek a kulcsok egyáltalán a Trusticóhoz. A cég tájékoztatása szerint a weboldalán keresztül generált tanúsítványokhoz tartozó privát kulcsokat a cég rendszere (az iparági gyakorlattól eltérően) rögzítette, így azok végig a vállalkozás birtokában voltak.

Vita van

A DigiCert a történteknek megfelelően pontosan arról tájékoztatta az ügyfeleket, ami történt: biztonsági incidens, amely a szabálykönyv szerint a tanúsítványok automatikus érvénytelenítéséhez vezet. A Trustico azonban kiborult azon, hogy a vásárlóikat a tanúsítványok kiállítója, a DigiCert közvetlenül értesítette a történtekről és felrótta, hogy "nem engedélyeztük, hogy a DigiCert kapcsolatba lépjen a vásárlóinkkal és nem hagytuk jóvá a levél tartalmát".

A cég mindenesetre arról tájékoztatta az ügyfeleket a The Register szerint, hogy ingyenes, immár a Comodótól származó tanúsítványokkal fogja pótolni az érvénytelenített tanúsítványokat - ezekkel persze a változatos informatikai rendszerek üzemeltetőinek azért lesz dolguk.

A Mozilla levelezőlistájára írt levélben Jeremy Rowley, a DigiCert üzletfejlesztési és jogi igazgatója érdekes kérdéseket vet fel. A tanúsítvány-rendszer jelenlegi szabályrendszere ugyanis a történet több pontjára sem ad világos leírást - például arra, hogy az értékesítő (reseller) a tanúsítvány felhasználójának (subscriber) számít-e, és kérheti-e a rajta keresztül kibocsátott tanúsítványok érvénytelenítését. Rowley szerint cége a fenti történetben igyekezett a szabályok szellemiségét követni, de szélesebb iparági konszenzusra lehet szükség a hasonló viták elkerülése érdekében.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.