-> ->

У пользователей отберут SSL-сертификаты Trustico

Пользователи, которые получали SSL-сертификаты у британского центра Trustico, могут их лишиться из-за ряда спорных моментов, которые возникли между удостоверяющей компанией и поставщиком сертификатов DigiCert. Отзыв сертификатов был запланирован на 1 марта.

Всего под отзыв подпадало более 23 тысяч сертификатов. Виной всему стал некий инцидент безопасности, который заметили специалисты DigiCert. Клиенты Trustico уже получили официальные письма об отзыве сертификатов. В то же время официальные представители Trustico заявили, что с безопасностью у них все в порядке и никаких проблем, которые могли бы вызвать сомнения в достоверности и надежности выданных сертификатов, не было. Но тем не менее эти заявления не были взяты во внимание.

Как сообщили исследователи из BleepingComputer, споры между двумя компаниями начались еще в первых числах февраля. Началось все с письма, которое реселлер Trustico направил поставщику DigiCert. В этом письме содержалась просьба об отзыве порядка 50 000 сертификатов, которые ранее были выданы удостоверяющим центром Symantec. Оказывается, DigiCert в свое время перекупила небольшую долю бизнеса закрывшегося со скандалом удостоверяющего центра. Через несколько дней после отправки официального письма поставщику центр Trustico заявил о том, что он прекращает продавать сертификаты Symantec.

Ответ на такие действия поступил незамедлительно. DigiCert озвучила свой отказ от аннулирования указанных сертификатов. В качестве аргументов специалисты привели правила индустрии, в которых отсутствует пункт относительно отзыва реселлером сертификатов у своих клиентов. В компании пояснили, что этот момент в правилах не прописан, поэтому действия в таких случаях непонятны. Также неясно, кто должен отзывать эти сертификаты, или же, возможно, отказываться от них должны сами пользователи. Однако в одном случае массовый отзыв все же возможно осуществить. Только для этого эксперты должны зафиксировать факт компрометации закрытых ключей клиентов. Если такой инцидент случится, то поставщик имеет полное право отозвать сертификаты. В ответ на это Trustico направила новое письмо, в котором содержались закрытые ключи от SSL-сертификатов клиентов. А это уже был повод для массового отзыва сертификатов. Ведь закрытые ключи попали в руки третьим лицам и могли быть скомпрометированы, чего быть не должно. Дело в том, что сразу же после передачи клиентам закрытые ключи должны удаляться. Но это не было сделано.

В итоге в течение 24-х часов после получения сообщения компания DigiCert начала отзывать скомпрометированные сертификаты. Их владельцев обязательно поставили в известность.

Эксперты отмечают, что во всей этой ситуации виноват именно реселлер. По их мнению, британская компания Trustico якобы процесс выдачи сертификатов сделала полностью автоматизированным, при этом копии приватных ключей клиентов сохранялись.

Представители центра опровергают такое обвинение в свой адрес, но тем не менее не объясняют, откуда копии приватных ключей оказались в руках у третьих лиц. После отзыва сертификатов Trustico попыталась наладить механизм автоматической замены отозванных сертификатов, но он не сработал. Какие дальше последуют действия компании, на данный момент неизвестно. Также не ясно, будет ли по этому факту проводится расследование или нет.

Поставить рейтинг:(Рейтинг: 2.89, оценок: 235)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.