次に何が起こったのかについて詳しく説明します。
/ペクセル/ Skitterphoto / CC
俳優
Trusticoは、Symantec、GeoTrust、Thawte、およびRapidSSL認定を販売しています。 以前は、これらの証明書はすべてシマンテックによって管理されていましたが、2017年12月1日から、CA DigiCertがそれらの操作を担当します。 昨年、Googleは古いシマンテックのインフラストラクチャを使用して発行された証明書の信頼を終了するプロセスを開始しました。これは、同社がサービス標準へのコンプライアンスを適切に制御できなかったためです。
その結果、シマンテックは、前述のように、「信頼を回復」し、Googleの要件に準拠するために、認証事業をDigiCertに売却することを決定しました。
Trusticoの状況
2月28日、Trustico は 、DigiCertがシマンテックの証明書の侵害を理由に失効させるよう要求しました。 DigiCertで詳細の提供を求められた場合、Trusticoの代表者は、クライアント証明書の23,000の秘密鍵をメールで送信しました。
その結果、DigiCertは選択の余地がありませんでした。センターは、Trusticoレターに秘密鍵が含まれている各証明書所有者に通知を送信することにより、証明書失効のプロセスを開始しました。 同時に、DigiCertは、証明書の失効手続きは、 3月15日に開始されるGoogleとMozillaの信頼の終了とは一切関係がないと指摘しています。
SSLキーはどこから来たのですか
物語は2月の前半に始まりました。 その後、Trustico は DigiCertに、証明書が侵害されたとされる5万件の証明書を直ちに撤回するよう依頼しました。 証明機関はこれを行いませんでした-再販業者はサポートする引数を持っていませんでした。
少し後で、 Symantec、GeoTrust、Thawte、およびRapidSSLのSSL証明書の拒否に関する情報が TrusticoのWebサイトに掲載されました。 その後、Trusticoの責任者であるZane Lucasは、DigiCertの副社長であるJeremy Rowleyに、秘密鍵のコピーを侵害の証拠として送信しました。 Rowleyによると、最初はTrusticoはこれらの秘密鍵の出所を明らかにしませんでした。 しかし、Zaneは後にTrusticoが「コールドストレージ」にキーを保持していることが明らかになった声明を発表しました。
Trusticoは、CSR( 証明書署名要求 )を使用して証明書の発行を自動化しました。これにより、リセラーは秘密キーのコピーを保存および保持できました。 同時に、Trusticoユーザーは、会社のCEOを含む他の誰かが自分の鍵を利用できることを知りませんでした。
/ Flickr / jeremy segrott / cc
コミュニティの反応と影響
Trusticoのこの動作は、Symantec SSL / TLS証明書を失効させる手順を開始し、他の製品で作業を開始するために、会社が特別にキーを侵害したという意見を引き起こしました。 これは、事件の前にTrustico が競合他社DigiCert-Comodoの証明書の販売を開始したという事実によっても確認されています。
コミュニティは、キーが電子メールで送信されたという事実も心配していました。 メッセージが送信されたチャネルが保護されているかどうかは不明であるため。 したがって、情報セキュリティの専門家が再販業者のインフラストラクチャに注目したことは驚くことではありません。
そして、サービスの問題が見つかりました。 Twitterのユーザーの1人が、重大な脆弱性Trustico に関する情報を公開しました。 確かに、これはしばらくの間再販業者のサイトが無効にされたという事実につながりました。
会社のウェブサイトには、ウェブサイトの所有者が証明書の正しいインストールを確認できるツールがありました。 そして彼は間違いを含んでいました 。 彼女のおかげで、彼女のコマンドを検証フォームに埋め込み、Trusticoサーバーでルート権限を持つ悪意のあるコードを実行することができました。 さらに、研究者自身によると、問題はインターネット上のオープンソースですべての情報を見つけたため、長い間知られていました。
Trusticoは現在、法的問題に直面しています。 Twitterユーザーは、米国の主要な信用調査機関の1つであるEquifaxを含め、Trusticoが多数の大手顧客にサービスを提供していることに注目しています。 そして、この状況に対するすべての質問とリーダーシップのあいまいな行動に起因する評判の問題は、大口注文の再販業者に費用がかかる可能性があります。