秘钥泄露门事件后,23,000个HTTPS证书被销毁
在一个互联网论坛上,一个重要的问题引发了一些关于浏览器信任的HTTPS证书的安全问题的讨论,一位证书经销商的首席执行官向合作伙伴发送了23,000个TLS证书的敏感私钥。
这封电子邮件是周二由Trustico的首席执行官发送的,Trustico是一家英国TLS证书经销商,而证书是由Comodo机构颁发的。这封邮件被发送给了DigiCert的执行副总裁Jeremy Rowley。在本月初,Trustico通知了DigiCert出于安全考虑,Trustico已经转售的50,000份Symantec签发的证书应该被批量撤销。
令人震惊的是
根据在Mozilla安全策略论坛上发布的帐户显示,当Rowley要求证明证书被泄露时,Trustico首席执行官通过电子邮件发送了23,000个证书的私钥。该报告引发了许多安全从业人员的集体惊叹,他们表示数字证书作为网站安全性最基本的基础之一,它不应该表现出如此傲慢的态度。
一般来说,TLS证书的私钥不应该由经销商归档,并且即使在允许它们保管的情况下,它们也应该受到严格的保护。这种将23,000张证书的密钥附加到电子邮件中的做法引发了令人不安的担忧。(虽然Trustico和DigiCert在回答问题时均未提供详细信息,但没有任何迹象表明电子邮件被加密了。)其他评论家争辩说,Trustico通过电子邮件发送密钥,试图迫使客户使用Symantec颁发的证书迁移到Comodo颁发的证书。虽然DigiCert接管了Symantec的证书发行业务,但它并不把Trustico视为经销商。
Trustico官员在一份声明中表示,密钥是从“冷存储”中恢复的,这个术语通常指离线存储系统。
“Trustico允许客户在订购过程中生成证书签名请求和私钥,”声明中写道。“这些私钥存储在冷库中,用于撤销。”
此次讨论还提出了有关Symantec在遵守行业问题上的新问题,该规则是允许Trustico转售其证书的浏览器信任证书颁发机构。根据基准要求对于证书颁发机构浏览器论坛,经销商不允许存档证书私钥。作为用于签署Trustico转售的TLS证书的根证书的持有者,Symantec最终负责确保遵守此要求。但公平地说,Symantec可能无法检测到违规行为。Trustico官员周三进一步称Symantec的安全性存在问题,当时他们对Symantec处理Trustico用于转售证书的帐户的行为表示严重担忧。
- 发表于:
- 原文链接:https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
