Saját tanúsítványait végezte ki a brit Trustico
Új szolgáltatóhoz akarta átterelni ügyfeleit egy brit tanúsítvány-értékesítő, ezért érvényteleníteni akarta a meglévőket. Rövid úton sikerült.
Foghatják a fejüket a Trustico tanúsítvány-értékesítő ügyfelei - a cég egy erősen vitatható lépéssel 23 ezer tanúsítvány érvénytelenítését váltotta ki, ezeket 24 órán belül cserélniük kell az érintett ügyfeleknek.
A történet háttere a Symantec-féle tanúsítványok bizalommegvonása, ahogy arról korábban részletesen beszámoltunk, a Google megvonja e tanúsítványoktól hamarosan a bizalmat, ezzel ezek gyakorlatilag értéktelenné válnak. Ez nyilván tanúsítványcserét jelent rengeteg szereplőnél, így a Trustico ügyfeleinél is. Jelen állás szerint úgy tűnik, a Trustico ezeket az ügyfeleket szerette volna más kibocsátóhoz, a Comodóhoz átmozgatni, ezért kérte a DigiCerttől (a Symantec tanúsítványkibocsátó részlegét felvásárló cégtől) az érintett certificate-ek érvénytelenítését. A DigiCert ezt természetesen megtagadta, a tanúsítványokat a cég nem vonhatja vissza önkényesen, azokat az ügyfelek saját belátásuk szerint használhatják, ilyen döntést helyettük az értékesítő Trustico nem hozhat.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A DigiCert saját állítása szerint arról tájékoztatta az értékesítő Trusticót, hogy visszavonásra csak egyetlen esetben kerülhet sor, amennyiben egy tanúsítvány privát kulcsa kiszivárog és annak biztonsága ezzel lenullázódik. Ilyenkor egyébként a CA rendszer alapvető szabályai szerint a kibocsátónak 24 óra után kötelessége is visszavonni a tanúsítványt, választási lehetősége ebben az esetben nincs is. A DigiCert hivatalos állásfoglalása itt olvasható. A Trustico itt publikálta saját álláspontját.
A Trustico ezt tudomásul vette és tájékoztatta a DigiCertet, hogy a kérdéses tanúsítványok biztonsága kompromittálódot, ezért érvénytelenítésük szükséges. A DigiCert ezt csak úgy bemondásra nem hitte el, így a Trustico laza mozdulattal emailben átküldte a DigiCertnek mintegy 23 ezer tanúsítvány privát kulcsát, ezzel kiváltva-kikényszerítve azok automatikus érvénytelenítését. A DigiCert lépett is, tájékoztatta az érintett ügyfeleket levélben, majd hozzáfogott a tanúsítványok kivonásának.
Felmerül persze a kérdés, hogy hogyan kerültek ezek a kulcsok egyáltalán a Trusticóhoz. A cég tájékoztatása szerint a weboldalán keresztül generált tanúsítványokhoz tartozó privát kulcsokat a cég rendszere (az iparági gyakorlattól eltérően) rögzítette, így azok végig a vállalkozás birtokában voltak.
Vita van
A DigiCert a történteknek megfelelően pontosan arról tájékoztatta az ügyfeleket, ami történt: biztonsági incidens, amely a szabálykönyv szerint a tanúsítványok automatikus érvénytelenítéséhez vezet. A Trustico azonban kiborult azon, hogy a vásárlóikat a tanúsítványok kiállítója, a DigiCert közvetlenül értesítette a történtekről és felrótta, hogy "nem engedélyeztük, hogy a DigiCert kapcsolatba lépjen a vásárlóinkkal és nem hagytuk jóvá a levél tartalmát".
A cég mindenesetre arról tájékoztatta az ügyfeleket a The Register szerint, hogy ingyenes, immár a Comodótól származó tanúsítványokkal fogja pótolni az érvénytelenített tanúsítványokat - ezekkel persze a változatos informatikai rendszerek üzemeltetőinek azért lesz dolguk.
A Mozilla levelezőlistájára írt levélben Jeremy Rowley, a DigiCert üzletfejlesztési és jogi igazgatója érdekes kérdéseket vet fel. A tanúsítvány-rendszer jelenlegi szabályrendszere ugyanis a történet több pontjára sem ad világos leírást - például arra, hogy az értékesítő (reseller) a tanúsítvány felhasználójának (subscriber) számít-e, és kérheti-e a rajta keresztül kibocsátott tanúsítványok érvénytelenítését. Rowley szerint cége a fenti történetben igyekezett a szabályok szellemiségét követni, de szélesebb iparági konszenzusra lehet szükség a hasonló viták elkerülése érdekében.