Más de 23000 usuarios tendrán sus certificados SSL revocados mañana por la mañana, 1 de marzo, en un incidente entre dos compañías -Trustico y DigiCert- que es probable que tenga un gran impacto en la industria CA (Autoridad certificadora) en su totalidad en los próximos meses
Toda la historia comenzó el día del 1 de marzo cuando DigiCert, uno de los mayores emisores de certificados en Internet, envió correos electrónicos a más de 23,000 clientes que obtuvieron sus certificados SSL a través de un distribuidor en el Reino Unido llamado Trustico.
DigiCert dijo que debido a un incidente de seguridad, tuvieron que revocar todos los certificados emitidos a Trustico, que Trustico luego vendió a sus propios clientes. El gerente general de Trustico, Zane Lucas, por otro lado, negó que su compañía sufriera algún incidente de seguridad.
En el punto de la cosa, todo se vuelve demasiado complicado, por lo que estableceremos una línea de tiempo de eventos, basada en declaraciones hechas por ambas compañías, al momento de escribir.
Cronica de los suscesos
- 1 El 2 de febrero, Trustico envió un correo electrónico a DigiCert, solicitando a DigiCert que revocara todos los certificados, alrededor de 50,000, administrados por DigiCert.
- 2 Trustico cae por su contrato para distribuir certificados de Symantec (ahora parte de DigiCert) e inicia una colaboración con Comodo.
- 3 DigiCert niega la solicitud de revocación masiva de 50,000 certificados. DigiCert dijo que las reglas de la industria no están claras si un "revendedor de certificados" puede revocar los certificados SSL de sus clientes, o solo el cliente final puede hacerlo solo.
- 4 Trustico dice que DigiCert decidió rescindir su contrato con Trustico el 25 de febrero, luego de que Trustico dijera que intentaría "buscar una opinión legal" sobre el asunto.
- 5 Con respecto a los certificados reales, DigiCert dice que le dijo a Trustico que podían revocar en masa los certificados si había evidencia de un incidente de seguridad durante el cual se comprometió la clave privada de los clientes.
- 6 DigiCert afirma que el 27 de febrero recibió un correo electrónico de Trustico que contiene más de 23,000 claves privadas para certificados SSL de clientes de Trustico.
- 7 De acuerdo con las reglas de la industria de California que ordenan que los certificados comprometidos se revoquen en 24 horas después de un incidente de seguridad, DigiCert inició el proceso de revocación de certificados para los 23,000 certs comprometidos que recibió por correo electrónico.
- 8 Anteriormente, DigiCert envió correos electrónicos a más de 23,000 clientes de Trustico indicando que sus certificados serían revocados. No está claro si DigiCert pudo enviar correos electrónicos masivos a los clientes de Trustico.
- 9 Varios expertos en seguridad han acusado públicamente a Trustico de supuestamente registrar copias de claves privadas del certificado SSL. Las autoridades de certificación (las empresas que emiten certificados SSL) no deben tener copias de estas claves privadas.
Incluso el COO de DigiCert -Flavio Martins- mostró su sorpresa de que Trustico enviara un correo electrónico que contenía las claves privadas de más de 23,000 de sus clientes.
La teoría general entre los profesionales -confirmados en este momento- es que Trustico había automatizado el proceso de CSR (solicitud de firma de certificado) , un paso en el proceso de emisión de certificados y generaba certificados SSL, pero también conservaba una copia de la clave privada.
- 10 DigiCert notifica a Mozilla el compromiso de 23,000 claves privadas, prometiendo publicar las claves privadas en una fecha posterior, por lo que los creadores de navegadores no pueden confiar en ellas.
- 11 Trustico responde el informe de DigiCert. Trustico dice que no hubo ningún incidente de seguridad.
"En ningún momento se han visto comprometidas las claves privadas, ni le hemos informado alguna vez que las claves privadas se han visto comprometidas", dijo Lucas.
Trustico no explicó el origen de las 23.000 claves privadas. La compañía tampoco respondió a una solicitud de comentario enviada por este periodista.
- 12 Trustico dice que la razón por la que quería revocar los 50,000 certificados DigiCert se debe a Symantec. DigiCert compró el negocio de emisión de SSL de Symantec . Los 50,000 certificados se habían emitido en la red más antigua de Symatec, y no directamente por DigiCert. Google anunció el año pasado que incluiría todos los certificados SSL de Symantec debido a repetidos incidentes de seguridad. Ahora, Trustico dice que perdió la confianza tanto en Symantec (e indirectamente en DigiCert) para administrar su infraestructura correctamente.
"Durante nuestras muchas discusiones durante la semana pasada, le explicamos que creemos que Symantec ha operado nuestra cuenta de una manera en la que se ha visto comprometida", dijo Lucas. "Creemos que los pedidos realizados a través de nuestra cuenta de Symantec estaban en riesgo y estaban mal administrados. Hemos estado cuestionando a Symantec sin respuesta en cuanto a los artículos durante aproximadamente un año. Symantec simplemente ignoró nuestras preocupaciones y pareció enterrarlos en el siguiente problema que surgió "
"En buena conciencia, decidimos que no era ideal tener ningún certificado SSL activo en los sistemas Symantec, ni ninguno que no cumpliera con nuestros estrictos requisitos de seguridad", agregó Lucas. "El mismo equipo de administración responsable de esa situación está debidamente empleado en DigiCert y está administrando completamente nuestra cuenta, causando gran preocupación de nuestra parte, ya que parece ser un negocio con un nuevo nombre. También fuimos víctimas de Symantec por error. Certificados SSL de nuestra propiedad, posteriormente se nos pidió que mantuviéramos el asunto en secreto, bajo un aviso confidencial ".
- 13 Lucas dice que el sistema que Trustico implementó para que los propietarios de sitios web puedan obtener un certificado de reemplazo en lugar de los certificados de Symantec / DigiCert que pronto serán revocados ha fallado hoy. Esto significa que más de 23,000 usuarios / compañías tendrán que lidiar mañana con sitios y aplicaciones que encuentren errores de seguridad HTTPS.
Mientras tanto, a pesar de la solicitud de Trustico, DigiCert no ha revocado los certificados de los otros 27,000 usuarios para los cuales Trustico quería certificados revocados, pero para los cuales no presentó evidencia de un compromiso. Un representante de Mozilla estuvo de acuerdo con la decisión de DigiCert de dejar estos certificados como "válidos".
Fecha actualización el 2021-03-01. Fecha publicación el 2018-03-01. Categoría: fitbit. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer