Original-URL des Artikels: https://www.golem.de/news/trustico-digicert-chaos-um-23-000-zertifikate-und-private-schluessel-1803-133077.html    Veröffentlicht: 01.03.2018 11:44    Kurz-URL: https://glm.io/133077

Trustico/Digicert

Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

Ein dubioser Vorfall um über 20.000 zurückgezogene Webseitenzertifikate sorgt gerade für Diskussionen in der TLS-Community. Viele Kunden des Zertifikatshändlers Trustico dürften daher gerade in manchen Browsern Warnmeldungen auf ihren Webseiten sehen. 23.000 Zertifikate, die von Symantec ausgestellt und von der Firma Trustico verkauft wurden, sind betroffen.

Trustico ist ein Zertifikatsreseller und verkauft Zertifikate der Zertifizierungsstellen Symantec und Comodo. Das Zertifikatsbusiness von Symantec wiederum wurde im vergangenen Jahr von der Firma Digicert übernommen. Symantecs Geschäft wurde stark beeinträchtigt, da sich Google und Mozilla nach zahlreichen Sicherheitsvorfällen entschieden hatten, den Zertifikaten von Symantec zu misstrauen. Alte Zertifikate von Symantec werden bald von den Browsern nicht mehr akzeptiert werden, doch viele Webseiten haben ihre Zertifikate noch nicht umgestellt.

Jeremy Rowley, ein Mitarbeiter der Firma Digicert, machte erste Details des Vorfalls gestern auf der Policy-Mailingliste von Mozilla bekannt. Später veröffentlichte Digicert auch ein Statement. Demnach habe Trustico Digicert gebeten, etwa 50.000 Zertifikate zurückzuziehen, ohne dass ihnen ein Grund dafür genannt wurde. Digicert wiederum wollte die Zertifikate nicht grundlos zurückziehen und bat um Belege dafür, dass diese kompromittiert seien.

23.000 private Schlüssel via E-Mail

Daraufhin schickte Trustico 23.000 private Schlüssel, die zu den Zertifikaten gehören, an Digicert. Dadurch war für Digicert klar, dass die Zertifikate tatsächlich kompromittiert sind - denn außer dem Besitzer des Zertifikats sollte eigentlich niemand Zugriff auf die privaten Schlüssel haben. Digicert hatte alle betroffenen Kunden mit einer E-Mail informiert. Doch Digicert zog nur die Zertifikate zurück, zu denen Trustico einen privaten Schlüssel lieferte, also knapp die Hälfte.

Im selben Mailinglistenthread meldete sich später ein Vertreter von Trustico, ein ähnliches Statement wurde auf der Webseite von Trustico veröffentlicht. Dieser zeigte sich empört über Digicerts Vorgehen. Der Hintergrund der Aktion sei demnach gewesen, dass Trustico Symantec aufgrund der Vorfälle in der Vergangenheit nicht mehr traue und es daher lieber hätte, dass die Zertifikate zurückgezogen würden. Trustico droht dabei auch mit rechtlichen Schritten.

Trustico erstellte private Schlüssel für Kunden - und bewahrte diese auf

Die Frage, die sich bei dem ganzen Vorfall vor allem stellt, ist die, warum Trustico überhaupt im Besitz der privaten Schlüssel war. Üblicherweise erstellt ein Kunde beim Kauf eines Webseitenzertifikats den privaten Schlüssel selbst. Anschließend übermittelt er an die Zertifizierungsstelle ein sogenanntes Certificate Signing Request (CSR), das nur den öffentlichen Schlüssel enthält. Bei diesem Vorgehen hat die Zertifizierungsstelle oder der Zertifikatshändler niemals Zugriff auf den privaten Schlüssel.

Doch Trustico bot seinen Kunden an, das CSR samt privatem Schlüssel für sie zu erstellen und warb auch explizit damit, dass es dem Kunden die Erstellung des CSRs abnimmt. Diese Praxis ist umstritten, aber nicht unüblich, andere Zertifizierungsstellen bieten Ähnliches an. Als Grund dafür wird häufig genannt, dass die Erstellung eines CSR Kunden überfordert. Das ist auch nicht überraschend: CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen.

Doch selbst wenn ein Zertifikatshändler den privaten Schlüssel für einen Kunden erstellt, gibt es keinen technischen Grund dafür, diesen auch aufzubewahren. Bei Trustico hatte man sich aber offenbar entschieden, genau das zu tun. Durch den Vorfall mit Digicert kam dies nun ans Licht.  (hab)


Verwandte Artikel:
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
HTTPS: Viele Webseiten nutzen alte Symantec-Zertifikate   
(07.02.2018, https://glm.io/132622 )
Dienste, Programme und Unternehmen: Was 2017 eingestellt und geschlossen wurde   
(22.12.2017, https://glm.io/131781 )
Zertifikate: Startcom gibt auf   
(17.11.2017, https://glm.io/131205 )
HTTPS: Let's Encrypt bringt Wildcard-Zertifikate   
(12.12.2017, https://glm.io/131621 )

© 1997–2019 Golem.de, https://www.golem.de/