Abo
  • Services:

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Artikel veröffentlicht am , Hanno Böck
Woher hatte Trustico nur all die privaten Schlüssel?
Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons/CC-BY-SA 3.0)

Ein dubioser Vorfall um über 20.000 zurückgezogene Webseitenzertifikate sorgt gerade für Diskussionen in der TLS-Community. Viele Kunden des Zertifikatshändlers Trustico dürften daher gerade in manchen Browsern Warnmeldungen auf ihren Webseiten sehen. 23.000 Zertifikate, die von Symantec ausgestellt und von der Firma Trustico verkauft wurden, sind betroffen.

Stellenmarkt
  1. VPV Versicherungen, Stuttgart (Home-Office)
  2. Dataport, verschiedene Standorte

Trustico ist ein Zertifikatsreseller und verkauft Zertifikate der Zertifizierungsstellen Symantec und Comodo. Das Zertifikatsbusiness von Symantec wiederum wurde im vergangenen Jahr von der Firma Digicert übernommen. Symantecs Geschäft wurde stark beeinträchtigt, da sich Google und Mozilla nach zahlreichen Sicherheitsvorfällen entschieden hatten, den Zertifikaten von Symantec zu misstrauen. Alte Zertifikate von Symantec werden bald von den Browsern nicht mehr akzeptiert werden, doch viele Webseiten haben ihre Zertifikate noch nicht umgestellt.

Jeremy Rowley, ein Mitarbeiter der Firma Digicert, machte erste Details des Vorfalls gestern auf der Policy-Mailingliste von Mozilla bekannt. Später veröffentlichte Digicert auch ein Statement. Demnach habe Trustico Digicert gebeten, etwa 50.000 Zertifikate zurückzuziehen, ohne dass ihnen ein Grund dafür genannt wurde. Digicert wiederum wollte die Zertifikate nicht grundlos zurückziehen und bat um Belege dafür, dass diese kompromittiert seien.

23.000 private Schlüssel via E-Mail

Daraufhin schickte Trustico 23.000 private Schlüssel, die zu den Zertifikaten gehören, an Digicert. Dadurch war für Digicert klar, dass die Zertifikate tatsächlich kompromittiert sind - denn außer dem Besitzer des Zertifikats sollte eigentlich niemand Zugriff auf die privaten Schlüssel haben. Digicert hatte alle betroffenen Kunden mit einer E-Mail informiert. Doch Digicert zog nur die Zertifikate zurück, zu denen Trustico einen privaten Schlüssel lieferte, also knapp die Hälfte.

Im selben Mailinglistenthread meldete sich später ein Vertreter von Trustico, ein ähnliches Statement wurde auf der Webseite von Trustico veröffentlicht. Dieser zeigte sich empört über Digicerts Vorgehen. Der Hintergrund der Aktion sei demnach gewesen, dass Trustico Symantec aufgrund der Vorfälle in der Vergangenheit nicht mehr traue und es daher lieber hätte, dass die Zertifikate zurückgezogen würden. Trustico droht dabei auch mit rechtlichen Schritten.

Trustico erstellte private Schlüssel für Kunden - und bewahrte diese auf

Die Frage, die sich bei dem ganzen Vorfall vor allem stellt, ist die, warum Trustico überhaupt im Besitz der privaten Schlüssel war. Üblicherweise erstellt ein Kunde beim Kauf eines Webseitenzertifikats den privaten Schlüssel selbst. Anschließend übermittelt er an die Zertifizierungsstelle ein sogenanntes Certificate Signing Request (CSR), das nur den öffentlichen Schlüssel enthält. Bei diesem Vorgehen hat die Zertifizierungsstelle oder der Zertifikatshändler niemals Zugriff auf den privaten Schlüssel.

Doch Trustico bot seinen Kunden an, das CSR samt privatem Schlüssel für sie zu erstellen und warb auch explizit damit, dass es dem Kunden die Erstellung des CSRs abnimmt. Diese Praxis ist umstritten, aber nicht unüblich, andere Zertifizierungsstellen bieten Ähnliches an. Als Grund dafür wird häufig genannt, dass die Erstellung eines CSR Kunden überfordert. Das ist auch nicht überraschend: CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen.

Doch selbst wenn ein Zertifikatshändler den privaten Schlüssel für einen Kunden erstellt, gibt es keinen technischen Grund dafür, diesen auch aufzubewahren. Bei Trustico hatte man sich aber offenbar entschieden, genau das zu tun. Durch den Vorfall mit Digicert kam dies nun ans Licht.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  3. 19,99€

logged_in 02. Mär 2018

Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt. Als Service, weil...

slacki 01. Mär 2018

Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche...

Proctrap 01. Mär 2018

ja und ? reseller sperren, weg, aus, schluss entweder digicert macht mit oder digicert...

RipClaw 01. Mär 2018

So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed...

Der schwarze... 01. Mär 2018

Da kannst als Reseller im gleichen Atemzug auch noch Insolvenz anmelden. So ein Fail ist...


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

    •  /