Abonner

Utstederne kranglet.  23.000 brukere mistet SSL-sertifikatene sine

Nå må tusenvis av irriterte IT-folk skaffe seg nye.

23 000 sertifikater er blitt trukket tilbake etter at en leverandør skal ha sendt de private nøklene over epost.
23 000 sertifikater er blitt trukket tilbake etter at en leverandør skal ha sendt de private nøklene over epost.
Del
Kommenter
Erlend Tangeraas LygreErlend Tangeraas LygreJournalist
2. mars 2018 - 14:51

Når man bestiller SSL-sertifikater er det du, og du alene som sitter med nøklene... ikke sant?

Nei. I alle fall ikke hvis du kjøpte dem fra Trustico, en tredjepartsleverandør av sertifikater.

Nå har 23 000 av sertifikatene som ble solgt gjennom dem blitt trukket tilbake. Det skjer etter en lang krangel med sertifikatutstederen Digicert, og en epost-utveksling hvor lederen i Trustico skal ha sendt en epost med titusener av sertifikatnøkler .

Artikkelen fortsetter etter annonsen
annonsørinnhold
PwC
– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

Dette er en litt komplisert historie, så vi tar det fra starten. 

Stolte ikke på Symatec-sertifikater

Etter en flere sikkerhetsbrudd annonserte Google i fjor at de ikke lenger stolte på sertifikater utstedt av Symatec. SSL-giganten Digicert tok senere over Symatecs SSL-virksomhet. Det skal ha vært den oppkjøpte Symatec-delen av Digicert som håndterte sertifikatene til Trustico.

For en måned siden sendte Trustico en mail til Digicert. Her forklarte de at de ikke lenger hadde tillitt til de 50.000 sertifikatene de hadde blitt tildelt, og ba om at organisasjonen trakk disse tilbake. Samtidig startet de et nytt samarbeid med utstederen Comodo. Det opplyser Bleeping Computer, som har laget en tidslinje over hendelsene.

Digicert svarte med å nekte å trekke disse tilbake på grunn av «uklare regler». De var usikre på om utstedere hadde makt til å trekke SSL-sertifikater tilbake med mindre det forelå et sikkerhetsbrudd.

Da opplyste Trustico at de ville ta rettslige skritt. Digicert svarte med å terminere kontrakten med dem. 

Men historien slutter ikke der.

Skal ha sendt nøkler i klartekst

Den 27. februar skal Digicert ha mottatt en epost fra Trustico. Denne skal ha inneholdt 23 000 sertifikater tilhørende Trustico-kunder. Digicert anså dette som et sikkerhetsbrudd, og svarte med å trekke tilbake nøklene.

Zane Lucas, sjefen i Trustico, nekter på sin side for at nøklene var kompromittert. De skal heller ikke ha informert Digicert om at nøklene var kompromittert.

«Vi skal ikke spekulere om årsaken, men vi vet at Trustico sendte oss et dokument med alle nøklene, så tilbaketrekking er nødvendig. Vi vet ikke hvordan eller hvorfor de hadde fått tak i nøklene til kundene sine», skriver administrerende direktør i Digicert på Twitter.

En teori er at de beholdt en egen kopi av nøklene de utstedte under signeringsprosessen, ifølge Bleeping Computer.

Uansett hva som har skjedd: Trustico fikk det som de ville, og nå må eierne av de 23 000 sertifikatene finne seg nye - og det kjapt.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra