Abo
  • Services:

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Artikel veröffentlicht am , Hanno Böck
Woher hatte Trustico nur all die privaten Schlüssel?
Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons/CC-BY-SA 3.0)

Ein dubioser Vorfall um über 20.000 zurückgezogene Webseitenzertifikate sorgt gerade für Diskussionen in der TLS-Community. Viele Kunden des Zertifikatshändlers Trustico dürften daher gerade in manchen Browsern Warnmeldungen auf ihren Webseiten sehen. 23.000 Zertifikate, die von Symantec ausgestellt und von der Firma Trustico verkauft wurden, sind betroffen.

Stellenmarkt
  1. WEGMANN automotive GmbH & Co. KG, Veitshöchheim
  2. DEUTZ AG, Köln

Trustico ist ein Zertifikatsreseller und verkauft Zertifikate der Zertifizierungsstellen Symantec und Comodo. Das Zertifikatsbusiness von Symantec wiederum wurde im vergangenen Jahr von der Firma Digicert übernommen. Symantecs Geschäft wurde stark beeinträchtigt, da sich Google und Mozilla nach zahlreichen Sicherheitsvorfällen entschieden hatten, den Zertifikaten von Symantec zu misstrauen. Alte Zertifikate von Symantec werden bald von den Browsern nicht mehr akzeptiert werden, doch viele Webseiten haben ihre Zertifikate noch nicht umgestellt.

Jeremy Rowley, ein Mitarbeiter der Firma Digicert, machte erste Details des Vorfalls gestern auf der Policy-Mailingliste von Mozilla bekannt. Später veröffentlichte Digicert auch ein Statement. Demnach habe Trustico Digicert gebeten, etwa 50.000 Zertifikate zurückzuziehen, ohne dass ihnen ein Grund dafür genannt wurde. Digicert wiederum wollte die Zertifikate nicht grundlos zurückziehen und bat um Belege dafür, dass diese kompromittiert seien.

23.000 private Schlüssel via E-Mail

Daraufhin schickte Trustico 23.000 private Schlüssel, die zu den Zertifikaten gehören, an Digicert. Dadurch war für Digicert klar, dass die Zertifikate tatsächlich kompromittiert sind - denn außer dem Besitzer des Zertifikats sollte eigentlich niemand Zugriff auf die privaten Schlüssel haben. Digicert hatte alle betroffenen Kunden mit einer E-Mail informiert. Doch Digicert zog nur die Zertifikate zurück, zu denen Trustico einen privaten Schlüssel lieferte, also knapp die Hälfte.

Im selben Mailinglistenthread meldete sich später ein Vertreter von Trustico, ein ähnliches Statement wurde auf der Webseite von Trustico veröffentlicht. Dieser zeigte sich empört über Digicerts Vorgehen. Der Hintergrund der Aktion sei demnach gewesen, dass Trustico Symantec aufgrund der Vorfälle in der Vergangenheit nicht mehr traue und es daher lieber hätte, dass die Zertifikate zurückgezogen würden. Trustico droht dabei auch mit rechtlichen Schritten.

Trustico erstellte private Schlüssel für Kunden - und bewahrte diese auf

Die Frage, die sich bei dem ganzen Vorfall vor allem stellt, ist die, warum Trustico überhaupt im Besitz der privaten Schlüssel war. Üblicherweise erstellt ein Kunde beim Kauf eines Webseitenzertifikats den privaten Schlüssel selbst. Anschließend übermittelt er an die Zertifizierungsstelle ein sogenanntes Certificate Signing Request (CSR), das nur den öffentlichen Schlüssel enthält. Bei diesem Vorgehen hat die Zertifizierungsstelle oder der Zertifikatshändler niemals Zugriff auf den privaten Schlüssel.

Doch Trustico bot seinen Kunden an, das CSR samt privatem Schlüssel für sie zu erstellen und warb auch explizit damit, dass es dem Kunden die Erstellung des CSRs abnimmt. Diese Praxis ist umstritten, aber nicht unüblich, andere Zertifizierungsstellen bieten Ähnliches an. Als Grund dafür wird häufig genannt, dass die Erstellung eines CSR Kunden überfordert. Das ist auch nicht überraschend: CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen.

Doch selbst wenn ein Zertifikatshändler den privaten Schlüssel für einen Kunden erstellt, gibt es keinen technischen Grund dafür, diesen auch aufzubewahren. Bei Trustico hatte man sich aber offenbar entschieden, genau das zu tun. Durch den Vorfall mit Digicert kam dies nun ans Licht.



Anzeige
Hardware-Angebote
  1. 59,79€ inkl. Rabatt
  2. ab 399€

logged_in 02. Mär 2018

Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt. Als Service, weil...

slacki 01. Mär 2018

Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche...

Proctrap 01. Mär 2018

ja und ? reseller sperren, weg, aus, schluss entweder digicert macht mit oder digicert...

RipClaw 01. Mär 2018

So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed...

Der schwarze... 01. Mär 2018

Da kannst als Reseller im gleichen Atemzug auch noch Insolvenz anmelden. So ein Fail ist...


Folgen Sie uns
       


ZTE Axon 9 Pro - Hands on (Ifa 2018)

Das Axon 9 Pro ist ZTEs erstes Smartphone nach der Beinahe-Pleite. In einem ersten Hands on hat uns das Gerät gut gefallen - besonders bei dem Preis von 650 Euro.

ZTE Axon 9 Pro - Hands on (Ifa 2018) Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /