Τουλάχιστον 23 χιλιάδες TLS πιστοποιητικά της Βρετανικής Trustico που τα μεταπωλεί από την DigiCert, ανακαλούνται άμεσα, μετά την αποστολή των ιδιωτικών τους κλειδιών με email από τον CEO της Trustico.
Η DigiCert που ανέλαβε την διαχείριση των πιστοποιητικών της Symantec -μετά την κατακραυγή της τελευταίας για κακή ασφάλεια- είχε ενημερωθεί από την Trustico πως 50.000 πιστοποιητικά της Symantec, πρέπει να ανακληθούν λόγω πιθανών προβλημάτων ασφαλείας. Όταν ζητήθηκαν αποδείξεις για την πιθανή παραβίαση τους, ο CEO έστειλε με plain email, τα 23 χιλιάδες κλειδιά τους.
Λίγες ώρες μετά την αποκάλυψη, το site της Trustico βγήκε offline, μετά την δημσίευση από ερευνητή, ενός κρίσιμου κενού ασφαλείας, που επέτρεπε την εκτέλεση απομακρυσμένου κώδικα με δικαιώματα root.The email was sent on Tuesday by the CEO of Trustico, a UK-based reseller of TLS certificates issued by the browser-trusted certificate authorities Comodo and, until recently, Symantec. It was sent to Jeremy Rowley, an executive vice president at DigiCert, a certificate authority that acquired Symantec's certificate issuance business after Symantec was caught flouting binding industry rules, prompting Google to distrust Symantec certificates in its Chrome browser. In communications earlier this month, Trustico notified DigiCert that 50,000 Symantec-issued certificates Trustico had resold should be mass revoked because of security concerns.
When Rowley asked for proof the certificates were compromised, the Trustico CEO emailed the private keys of 23,000 certificates, according to an account posted to a Mozilla security policy forum. The report produced a collective gasp among many security practitioners who said it demonstrated a shockingly cavalier treatment of the digital certificates that form one of the most basic foundations of website security.
Πηγή : Arstechnica
Εμφάνιση 1-14 από 14
-
02-03-18, 12:00 Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Trustico #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.790
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
02-03-18, 12:25 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #2
Βρε τον άμπαλο τον CEO Είναι πραγματικά για γέλια και για κλάματα μαζί
-
02-03-18, 12:30 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #3
Τουλάχιστον χωρίς ssl/tls ξέρεις οτι είσαι γυμνός στα αγγούρια.
-
02-03-18, 13:41 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #4
Ακόμα και εκ παραδρομής να έγινε, λάθος να έκανε, γκάφα να έκανε..
το σύστημα αποδεικνύεται τόσο γελοίο...
... φαντάσου να έρθει η και τον πιάσει από τα @@...
άνετα θα δώσει τα πιστοποιητικά και σε αυτή ώστε
να κάνει MITM η NSA σε οποιοδήποτε πελάτη της.
Τελικά μάλλον θα εκδίδουμε μόνοι μας τα πιστοποιητικά
μας... θα τα δίνουμε χέρι με χέρι με τους φίλους μας
για να μιλάμε χα χα χαΌλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
από εδώ: https://play.google.com/store/apps/d...=Carbon+People
-
02-03-18, 13:59 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #5
-
02-03-18, 14:06 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #6
Κι εγώ κάπως έτσι το διαβάζω...
Δηλαδή πάρτα όλα αυτά σε plaintext, ούτως ή άλλως invalid είναι!You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
02-03-18, 18:11 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #7
Τι σημαινει αποστολη των ιδιωτικων κλειδιων; Υποτιθεται οτι το private key του πελατη δεν το εχει ποτε ο server.
-
02-03-18, 20:26 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #8
Ανακοινώσεις και από τις δύο πλευρές:
https://www.trustico.com/news/2018/s...eplacement.php
https://www.digicert.com/blog/digice...te-revocation/
Όπως λέει η 1η ανακοίνωση, τα κάνουν generate σε web form.
"Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process. These Private Keys are stored in cold storage, for the purpose of revocation."
-
02-03-18, 20:31 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #9
Cold storage ειναι επιστημονικα η καταψυξη;
-
02-03-18, 20:33 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #10Richard Stallman: "I see you are being your usual friendly self ;-}."
Theo de Raadt: "Yes, and you are being the usual slimy hypocritical asshole."
-
02-03-18, 22:39 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #11
Ουσιαστικά ένα μαζικό SSL cert migration πήγε να κάνει ένας reseller σε άλλον CA, αντιστάθηκε καλώς ή κακώς ο τωρινός CA... και ξέφυγε η κατάσταση.
Η Trustico ήθελε να μεταφέρει αλλού 50K certs πελατών (με την άδειά τους?) ζητώντας μαζικό revoke από την Digicert, η Digicert αρνήθηκε να δεχτεί μαζικά revokes -που συνήθως δέχεται μεμονωμένα- με αιτιολογία (ή πρόσχημα?) ότι θα επηρεαστούν πολλά sites εκτός βέβαια αν είναι παραβιασμένα (οπότε είναι υποχρεωμένοι να το κάνουν άμεσα), η Trustico τους είπε ΟΚ τότε είναι παραβιασμένα (για να τους αναγκάσει), η Digicert ζήτησε αποδείξεις γιατί δε το πίστεψε (προφανώς κατάλαβαν ότι απλά θέλουν να πάνε σε άλλο CA) και η Trustico τους έστειλε τα private keys με plain-text e-mail που είχε κρατήσει από το order form (!) για να κάνει μεμονωμένα revokes.
- - - Updated - - -
Και δημόσια η "διαμάχη" τους (χωρίς την ξύλινη γλώσσα των ανακοινώσεων): https://groups.google.com/forum/#!to...cy/wxX4Yv0E3Mk
- - - Updated - - -
Εκτός και αν υπήρξε όντως διαρροή από το generation tool που έσωζαν τα κλειδιά και δεν ήθελαν να το παραδεχτούν ευθέως.Τελευταία επεξεργασία από το μέλος psyxakias : 02-03-18 στις 20:52.
-
02-03-18, 23:17 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #12
και γιατί χρειάζεται φύλαξη του Private key για revocation?!? Τι είναι αυτά; Καινούρια ήθη; Το CA το public πιστοποιεί και δεν έχει καμιά δουλειά να "φυλάει" το private (που ούτε να το παράγει δε χρειάζεται ανάλογα την περίπτωση) στην.. κατάψυξη..
Όσο για το CO.. Της δουλειάς και αυτός.. Από παιδί στο security (αλεξιπτωτιστής μανατζαραίος βύσμα στο ΔΣ ). Άκου έστειλε τα μυστικά κλειδιά ως "απόδειξη" σε δεν έχει σημασία τι...There is nothing like 127.0.0.1
-
03-03-18, 06:26 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #13
Πάλι καλά που δεν τα έβαλε στο pastebin
See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
05-03-18, 02:55 Απάντηση: Άμεση ανάκληση 23 χιλιάδων TLS πιστοποιητικών, μετά την αποστολή των κλειδιών τους με email από τον CEO της Tr #14
Παρόμοια Θέματα
-
Εμπορική συμφωνία Nova – Wind για την προβολή των καναλιών Novasports από την νέα πλατφόρμα IPTV της Wind
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 28Τελευταίο Μήνυμα: 24-01-18, 14:28 -
Δύο Chrome extensions μετατράπηκαν σε adware μετά από παραβίαση των λογαριασμών των δημιουργών τους μέσω phishing
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 10Τελευταίο Μήνυμα: 07-08-17, 00:01 -
Διαβούλευση για την Προσφορά Αναφοράς Υπηρεσιών Χονδρικής Εκμίσθωσης Γραμμών από τον ΟΤΕ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 0Τελευταίο Μήνυμα: 17-07-17, 10:24 -
Θράσος με προσφορά από εξωτερικό συνεργάτη της Wind.
Από YAziDis στο φόρουμ WindΜηνύματα: 23Τελευταίο Μήνυμα: 27-06-17, 00:22 -
Το Fraunhofer Institute τερματίζει την αδειοδότηση του mp3 μετά την λήξη των πατεντών
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 118Τελευταίο Μήνυμα: 25-05-17, 19:17
Bookmarks