• IT-Karriere:
  • Services:

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Artikel veröffentlicht am , Hanno Böck
Woher hatte Trustico nur all die privaten Schlüssel?
Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons/CC-BY-SA 3.0)

Ein dubioser Vorfall um über 20.000 zurückgezogene Webseitenzertifikate sorgt gerade für Diskussionen in der TLS-Community. Viele Kunden des Zertifikatshändlers Trustico dürften daher gerade in manchen Browsern Warnmeldungen auf ihren Webseiten sehen. 23.000 Zertifikate, die von Symantec ausgestellt und von der Firma Trustico verkauft wurden, sind betroffen.

Stellenmarkt
  1. EDAG Engineering GmbH, Mönsheim
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Münster

Trustico ist ein Zertifikatsreseller und verkauft Zertifikate der Zertifizierungsstellen Symantec und Comodo. Das Zertifikatsbusiness von Symantec wiederum wurde im vergangenen Jahr von der Firma Digicert übernommen. Symantecs Geschäft wurde stark beeinträchtigt, da sich Google und Mozilla nach zahlreichen Sicherheitsvorfällen entschieden hatten, den Zertifikaten von Symantec zu misstrauen. Alte Zertifikate von Symantec werden bald von den Browsern nicht mehr akzeptiert werden, doch viele Webseiten haben ihre Zertifikate noch nicht umgestellt.

Jeremy Rowley, ein Mitarbeiter der Firma Digicert, machte erste Details des Vorfalls gestern auf der Policy-Mailingliste von Mozilla bekannt. Später veröffentlichte Digicert auch ein Statement. Demnach habe Trustico Digicert gebeten, etwa 50.000 Zertifikate zurückzuziehen, ohne dass ihnen ein Grund dafür genannt wurde. Digicert wiederum wollte die Zertifikate nicht grundlos zurückziehen und bat um Belege dafür, dass diese kompromittiert seien.

23.000 private Schlüssel via E-Mail

Daraufhin schickte Trustico 23.000 private Schlüssel, die zu den Zertifikaten gehören, an Digicert. Dadurch war für Digicert klar, dass die Zertifikate tatsächlich kompromittiert sind - denn außer dem Besitzer des Zertifikats sollte eigentlich niemand Zugriff auf die privaten Schlüssel haben. Digicert hatte alle betroffenen Kunden mit einer E-Mail informiert. Doch Digicert zog nur die Zertifikate zurück, zu denen Trustico einen privaten Schlüssel lieferte, also knapp die Hälfte.

Im selben Mailinglistenthread meldete sich später ein Vertreter von Trustico, ein ähnliches Statement wurde auf der Webseite von Trustico veröffentlicht. Dieser zeigte sich empört über Digicerts Vorgehen. Der Hintergrund der Aktion sei demnach gewesen, dass Trustico Symantec aufgrund der Vorfälle in der Vergangenheit nicht mehr traue und es daher lieber hätte, dass die Zertifikate zurückgezogen würden. Trustico droht dabei auch mit rechtlichen Schritten.

Trustico erstellte private Schlüssel für Kunden - und bewahrte diese auf

Die Frage, die sich bei dem ganzen Vorfall vor allem stellt, ist die, warum Trustico überhaupt im Besitz der privaten Schlüssel war. Üblicherweise erstellt ein Kunde beim Kauf eines Webseitenzertifikats den privaten Schlüssel selbst. Anschließend übermittelt er an die Zertifizierungsstelle ein sogenanntes Certificate Signing Request (CSR), das nur den öffentlichen Schlüssel enthält. Bei diesem Vorgehen hat die Zertifizierungsstelle oder der Zertifikatshändler niemals Zugriff auf den privaten Schlüssel.

Doch Trustico bot seinen Kunden an, das CSR samt privatem Schlüssel für sie zu erstellen und warb auch explizit damit, dass es dem Kunden die Erstellung des CSRs abnimmt. Diese Praxis ist umstritten, aber nicht unüblich, andere Zertifizierungsstellen bieten Ähnliches an. Als Grund dafür wird häufig genannt, dass die Erstellung eines CSR Kunden überfordert. Das ist auch nicht überraschend: CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen.

Doch selbst wenn ein Zertifikatshändler den privaten Schlüssel für einen Kunden erstellt, gibt es keinen technischen Grund dafür, diesen auch aufzubewahren. Bei Trustico hatte man sich aber offenbar entschieden, genau das zu tun. Durch den Vorfall mit Digicert kam dies nun ans Licht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

logged_in 02. Mär 2018

Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt. Als Service, weil...

slacki 01. Mär 2018

Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche...

Proctrap 01. Mär 2018

ja und ? reseller sperren, weg, aus, schluss entweder digicert macht mit oder digicert...

RipClaw 01. Mär 2018

So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed...

Der schwarze... 01. Mär 2018

Da kannst als Reseller im gleichen Atemzug auch noch Insolvenz anmelden. So ein Fail ist...


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


      •  /