Abo
  • IT-Karriere:

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Artikel veröffentlicht am , Hanno Böck
Woher hatte Trustico nur all die privaten Schlüssel?
Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons/CC-BY-SA 3.0)

Ein dubioser Vorfall um über 20.000 zurückgezogene Webseitenzertifikate sorgt gerade für Diskussionen in der TLS-Community. Viele Kunden des Zertifikatshändlers Trustico dürften daher gerade in manchen Browsern Warnmeldungen auf ihren Webseiten sehen. 23.000 Zertifikate, die von Symantec ausgestellt und von der Firma Trustico verkauft wurden, sind betroffen.

Stellenmarkt
  1. über experteer GmbH, deutschlandweit
  2. Joyson Safety Systems Aschaffenburg GmbH, Berlin

Trustico ist ein Zertifikatsreseller und verkauft Zertifikate der Zertifizierungsstellen Symantec und Comodo. Das Zertifikatsbusiness von Symantec wiederum wurde im vergangenen Jahr von der Firma Digicert übernommen. Symantecs Geschäft wurde stark beeinträchtigt, da sich Google und Mozilla nach zahlreichen Sicherheitsvorfällen entschieden hatten, den Zertifikaten von Symantec zu misstrauen. Alte Zertifikate von Symantec werden bald von den Browsern nicht mehr akzeptiert werden, doch viele Webseiten haben ihre Zertifikate noch nicht umgestellt.

Jeremy Rowley, ein Mitarbeiter der Firma Digicert, machte erste Details des Vorfalls gestern auf der Policy-Mailingliste von Mozilla bekannt. Später veröffentlichte Digicert auch ein Statement. Demnach habe Trustico Digicert gebeten, etwa 50.000 Zertifikate zurückzuziehen, ohne dass ihnen ein Grund dafür genannt wurde. Digicert wiederum wollte die Zertifikate nicht grundlos zurückziehen und bat um Belege dafür, dass diese kompromittiert seien.

23.000 private Schlüssel via E-Mail

Daraufhin schickte Trustico 23.000 private Schlüssel, die zu den Zertifikaten gehören, an Digicert. Dadurch war für Digicert klar, dass die Zertifikate tatsächlich kompromittiert sind - denn außer dem Besitzer des Zertifikats sollte eigentlich niemand Zugriff auf die privaten Schlüssel haben. Digicert hatte alle betroffenen Kunden mit einer E-Mail informiert. Doch Digicert zog nur die Zertifikate zurück, zu denen Trustico einen privaten Schlüssel lieferte, also knapp die Hälfte.

Im selben Mailinglistenthread meldete sich später ein Vertreter von Trustico, ein ähnliches Statement wurde auf der Webseite von Trustico veröffentlicht. Dieser zeigte sich empört über Digicerts Vorgehen. Der Hintergrund der Aktion sei demnach gewesen, dass Trustico Symantec aufgrund der Vorfälle in der Vergangenheit nicht mehr traue und es daher lieber hätte, dass die Zertifikate zurückgezogen würden. Trustico droht dabei auch mit rechtlichen Schritten.

Trustico erstellte private Schlüssel für Kunden - und bewahrte diese auf

Die Frage, die sich bei dem ganzen Vorfall vor allem stellt, ist die, warum Trustico überhaupt im Besitz der privaten Schlüssel war. Üblicherweise erstellt ein Kunde beim Kauf eines Webseitenzertifikats den privaten Schlüssel selbst. Anschließend übermittelt er an die Zertifizierungsstelle ein sogenanntes Certificate Signing Request (CSR), das nur den öffentlichen Schlüssel enthält. Bei diesem Vorgehen hat die Zertifizierungsstelle oder der Zertifikatshändler niemals Zugriff auf den privaten Schlüssel.

Doch Trustico bot seinen Kunden an, das CSR samt privatem Schlüssel für sie zu erstellen und warb auch explizit damit, dass es dem Kunden die Erstellung des CSRs abnimmt. Diese Praxis ist umstritten, aber nicht unüblich, andere Zertifizierungsstellen bieten Ähnliches an. Als Grund dafür wird häufig genannt, dass die Erstellung eines CSR Kunden überfordert. Das ist auch nicht überraschend: CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen.

Doch selbst wenn ein Zertifikatshändler den privaten Schlüssel für einen Kunden erstellt, gibt es keinen technischen Grund dafür, diesen auch aufzubewahren. Bei Trustico hatte man sich aber offenbar entschieden, genau das zu tun. Durch den Vorfall mit Digicert kam dies nun ans Licht.



Anzeige
Top-Angebote
  1. (Batman Arkham Collection & Lego Batman Trilogy)
  2. (u. a. Actionfiguren ab 11,99€, DCU Animation Batman Collection 59,97€, verschiedene Lego DC...
  3. (aktuell u. a. QPAD QH-91 Headset für 54,90€, Corsair T1 Race 2018 Gaming-Chais verschiedene...
  4. ab 799,00€

logged_in 02. Mär 2018

Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt. Als Service, weil...

slacki 01. Mär 2018

Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche...

Proctrap 01. Mär 2018

ja und ? reseller sperren, weg, aus, schluss entweder digicert macht mit oder digicert...

RipClaw 01. Mär 2018

So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed...

Der schwarze... 01. Mär 2018

Da kannst als Reseller im gleichen Atemzug auch noch Insolvenz anmelden. So ein Fail ist...


Folgen Sie uns
       


Snapdragon 850 - ARM64 vs Win32

Wir vergleichen native ARM64-Anwendungen mit ihren emulierten x86-Win32-Pendants unter Windows 10 on ARM.

Snapdragon 850 - ARM64 vs Win32 Video aufrufen
IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


    Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
    Innovationen auf der IAA
    Vom Abbiegeassistenten bis zum Solarglasdach

    IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
    Ein Bericht von Dirk Kunde

    1. E-Auto Byton zeigt die Produktionsversion des M-Byte

    Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
    Mobile-Games-Auslese
    Superheld und Schlapphutträger zu Besuch im Smartphone

    Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
    Von Rainer Sigl

    1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
    2. Dr. Mario World im Test Spielspaß für Privatpatienten
    3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

      •  /