20.000 certificaten ingetrokken na mail met privésleutels
Certificaatautoriteit DigiCert heeft de geldigheid van 20.000 tls-certificaten ingetrokken nadat de directeur van het bedrijf Trustico de privesleutels van deze certificaten naar DigiCert had gemaild. Dat laat DigiCert in een verklaring op de eigen website weten.
Trustico is een reseller die certificaten verkoopt waarmee websites de verbinding naar hun bezoekers kunnen versleutelen. De certificaten die het bedrijf aanbiedt zijn onder andere bij DigiCert afkomstig.
De directeur van Trustico had DigiCert gevraagd om allerlei bij Symantec aangevraagde certificaten in te trekken omdat die gecompromitteerd zouden zijn. DigiCert vroeg om bewijs, maar dat werd niet door Trustico geleverd. Wel liet de directeur van de reseller weten dat het de privesleutels van deze certificaten bezat en stuurde vervolgens 20.000 privesleutels per e-mail naar DigiCert. Hierdoor had DigiCert, gezien de regels die voor certificaatautoriteiten gelden, geen andere optie dan de certificaten in te treken. De certificaathouders zijn per e-mail door DigiCert ingelicht, zodat ze een vervangend certificaat konden regelen.
Trustico deed in de eigen communicatie voorkomen dat de certificaten waren ingetrokken omdat Google Chrome het vertrouwen in door Symantec uitgegeven certificaten gaat opzeggen. Iets wat helemaal los van dit incident staat, aldus DigiCert. Daarnaast bleek er een beveiligingslek in de website van Trustico te zitten waardoor command injection mogelijk was. De website van de reseller was donderdagmiddag en begin van de avond onbereikbaar.
Volgens Kristian Kohntopp was Trustico van plan om hun klanten van Symantec naar Comodo over te zetten. De reseller vroeg DigiCert, dat de certificaattak van Symantec heeft overgenomen, om de certificaten die ze aan hun klanten hadden verkocht in te trekken. Aangezien er niet werd voldaan aan de vereisten om de certificaten in te trekken weigerde DigiCert dit. Certificaten worden wel ingetrokken als de privesleutel bij iemand anders dan de eigenaar van het certificaat bekend is. Trustico bleek de privesleutels van de certificaten van klanten te bezitten, waardoor DigiCert wel genoodzaakt was om in actie te komen, zo laat Kohntopp weten.
Reacties (21)
02-03-2018, 09:29 door
buttonius
Misschien was het lastig te bewijzen dat de certificaten gecomprimitteerd waren en simpeler om te bewijzen dat de privesleutels in de verkeerde handen waren. Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Misschien wel effectief, maar bij certificaten gaat om vertrouwen en ik krijg met deze handelspraktijk weinig vertrouwen in DigiCert. :-(
Door buttonius: Misschien was het lastig te bewijzen dat de certificaten gecomprimitteerd waren en simpeler om te bewijzen dat de privesleutels in de verkeerde handen waren. Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Hij heeft ook heel effectief laten zien dat hij iets bezit wat hij helemaal niet hoort te bezitten. Ik zou denken dat hiermee alle certificaten die via Trustico zijn verstrekt niet meer vertrouwd kunnen worden.Het is nu wel afwachten wat Comodo doet. Als zij na dit in zee gaan met Trustico, dan heb ik ook geen vertrouwen meer in Comodo.
Peter
Peter
Door buttonius: Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Door Anoniem: Misschien wel effectief, maar bij certificaten gaat om vertrouwen en ik krijg met deze handelspraktijk weinig vertrouwen in DigiCert. :-(
DigiCert heeft het enige juiste gedaan. Zowel bij de initiele aanvraag voor revocation als bij het bewijs van een compromise van de private keys.
Vooral https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/wxX4Yv0E3Mk/q6P8oE3pAQAJ is interessant om eens goed door te lezen.
Door Briolet:Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Ze boden een serverbased key-pair generatie aan. Ook interessant om de mening te lezen daarover in bovenstaand link.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Ik zou verwachten dat geen enkele CA meer met hen in zee wil gaan. Er zijn al vragen aan Comodo gesteld over hun relatie met Trustico.
Peter
Door Briolet:
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Door buttonius: Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Mwww. De betreffende klanten zijn toch klanten die *wel* een certificaat krijgen, maar _niet_ zelf een sleutel genereerden.
Daar zijn ze toch echt zelf bij, dat ze "hun" sleutel kregen _van_ Trustico . En dan zouden ze _nu_ boos moeten opstappen ?
Het lijkt me dat klanten die vinden dat hun sleutel bij henzelf moet blijven daar bij het aanvragen van het certificaat al bij zijn , en geen gebruik maken van de "service" dat de certificaten boer 'm voor je genereert .
02-03-2018, 11:54 door
User2048
Door Anoniem: Misschien wel effectief, maar bij certificaten gaat om vertrouwen en ik krijg met deze handelspraktijk weinig vertrouwen in DigiCert. :-(
DigiCert heeft het juist goed gedaan. De fout ligt bij Trustico. NoTrustico dus.Zo haal je dus "Trust" uit Trustico. Duidelijk is inmiddels nu wel,
dat je nergens meer ten volle Anglo-Amerikaanse hardware en software kunt vertrouwen.
Zeker sinds 2001 en misschien al vanaf 1995 is de hele boel "voorgeboord" en voorzien van 'doorkijkgaatjes'.
Wie de ogen hiervoor nog niet open heeft, zal nooit meer wakker worden, vrees ik.
Wie wakker geworden is voor deze feitelijkheid, zal het nooit meer anders kunnen zien.
(Intel speculatieve gpu hardware bedreiging, WannaCry, lucky13, Poodle, wat hebben we allemaal al niet gehad
en nu dan ook nog eens certificaat ellende in het kwadraat).
Allemaal louter toeval, la'me niet lachen.
En wat wordt er allemaal nog onthuld, dat we nog niet weten?
luntrus
dat je nergens meer ten volle Anglo-Amerikaanse hardware en software kunt vertrouwen.
Zeker sinds 2001 en misschien al vanaf 1995 is de hele boel "voorgeboord" en voorzien van 'doorkijkgaatjes'.
Wie de ogen hiervoor nog niet open heeft, zal nooit meer wakker worden, vrees ik.
Wie wakker geworden is voor deze feitelijkheid, zal het nooit meer anders kunnen zien.
(Intel speculatieve gpu hardware bedreiging, WannaCry, lucky13, Poodle, wat hebben we allemaal al niet gehad
en nu dan ook nog eens certificaat ellende in het kwadraat).
Allemaal louter toeval, la'me niet lachen.
En wat wordt er allemaal nog onthuld, dat we nog niet weten?
luntrus
In hun eigen statement over deze situatie geeft Trustico zelf aan dat ze iets niet goed doen, duidelijk zonder dat zelf te begrijpen:
Ze hebben sleutels uit deze "cold storage" per e-mail opgestuurd, volgens diezelfde verklaring.
Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process. These Private Keys are stored in cold storage, for the purpose of revocation.
https://www.trustico.com/news/2018/symantec-revocation/certificate-replacement.phpZe hebben sleutels uit deze "cold storage" per e-mail opgestuurd, volgens diezelfde verklaring.
Door Briolet:
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Door buttonius: Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Maar dat zul je zelf ook wel moeten doen als je een certificaat wilt verlengen ofzo.
De dumbing-down heeft zowat die hele markt al getroffen hoor, De tijd dat je zelf een secret key maakte en dan
een signing request opstelde en naar je reseller stuurde die hem liet signeren die hebben we zo te zien achter ons
gelaten, overal werken die resellers met een of andere webpagina waar je je certificaat aanvraagt en dan maken ze
zelf de key en csr en sturen jou vervolgens de key en het certificaat op. Daarbij doen ze dan meer of minder moeite
om dat een beetje veilig te doen. Maar ze hebben dus wel je key.
Ik snap dat ook wel een beetje hoor, het is voor miep-die-ook-een-https-site-wil veel te moeilijk om lokaal de software
te installeren om die csr te maken en al helemaal om alle veldjes in die csr goed en naar de zin van de uitgever
te krijgen. En zo'n uitgever past zich aan naar het grootste klantvolume en richt zich op zo weinig mogelijk
supportcalls.
Dus de genoemde situatie is nu meer de regel dan de kwade uitzondering.
Door Anoniem:
Mwww. De betreffende klanten zijn toch klanten die *wel* een certificaat krijgen, maar _niet_ zelf een sleutel genereerden.
Daar zijn ze toch echt zelf bij, dat ze "hun" sleutel kregen _van_ Trustico . En dan zouden ze _nu_ boos moeten opstappen ?….
Door Briolet: Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Mwww. De betreffende klanten zijn toch klanten die *wel* een certificaat krijgen, maar _niet_ zelf een sleutel genereerden.
Daar zijn ze toch echt zelf bij, dat ze "hun" sleutel kregen _van_ Trustico . En dan zouden ze _nu_ boos moeten opstappen ?….
Je hebt gelijk dat de klanten erbij waren toen ze hun "private key" kregen. Maar veel mensen weten niet hoe zo'n aanvraag veilig moet lopen. Ze zouden dan op zijn minst moeten verwachten dat de wederpartij geen private keys opslaat op het eigen systeem na generatie. Na het lezen van deze actie weet men dat Trustico dit vertrouwen beschaamd.
Ook bij een CSR waarbij je zelf een private key genereert, sturen mensen wel eens uit onwetendheid hun private key op om de aanvraag te vervolmaken. Een zichzelf respecterende reseller zal dan altijd vragen om een nieuwe CSR te doen en verzoeken de private key niet mee te sturen.
overal werken die resellers met een of andere webpagina waar je je certificaat aanvraagt en dan maken ze
zelf de key en csr en sturen jou vervolgens de key en het certificaat op.
Zelfs als je het certificaat via een webpagina aanvraagt, kun je via het JS script zorgen dat de private key lokaal aangemaakt wordt en de PC niet verlaat.zelf de key en csr en sturen jou vervolgens de key en het certificaat op.
@ anoniem van 13:11
Hoe erg is het al met dat "dumbing down" en in hoeverre heeft dat de veiligheid op de infrastructuur al ernstig bedreigd
of onherstelbaar beschadigd?
We kunnen het kennelijk met opleiden van veiliger codeurs, technische INF staf en controle door personen met relevante kennis niet meer opvangen/redden. In hoeverre gaat dat de boel goed scheef trekken?
Het wordt de Neo-Middeleeuwen met enkelen goed opgeleiden in de edele schrijfkunst (een deel van de hogere kaste) en de rest ongeletterden (de digibeten van thans, de 'twee duimen klikkers'), die niet verder komen als plaatjes (nu emoticons) kijken langs de wanden van kerkgebouwen en beelden en relieken betasten. "Deus Vult en de Tempeliers rijden weer twee te paard ;)".
Meer geloof als wijsheid destijds, nu vaak meer geluk als wijsheid. De heersers in IT land vinden het allemaal wel prachtig, de zeer kleine echt fors profiterende clan des te meer. Je hoeft nergens verstand te hebben, wel diepe zakken.
Ik klaag niet, ik stel vast. Heeft men hier in het algemeen oog voor of laat men het toch liever voortwoekeren als een ondergrondse veenbrand, het "IT-moeras" in wording.
Zie https://cwatch.comodo.com/web-security-scanner-online/
en https://app.webinspector.com/?track=1716&key5sk1=e84dc3f705af70ab6c9cf21a99797d5814ee40db
Jodocus Oyevaer
Hoe erg is het al met dat "dumbing down" en in hoeverre heeft dat de veiligheid op de infrastructuur al ernstig bedreigd
of onherstelbaar beschadigd?
We kunnen het kennelijk met opleiden van veiliger codeurs, technische INF staf en controle door personen met relevante kennis niet meer opvangen/redden. In hoeverre gaat dat de boel goed scheef trekken?
Het wordt de Neo-Middeleeuwen met enkelen goed opgeleiden in de edele schrijfkunst (een deel van de hogere kaste) en de rest ongeletterden (de digibeten van thans, de 'twee duimen klikkers'), die niet verder komen als plaatjes (nu emoticons) kijken langs de wanden van kerkgebouwen en beelden en relieken betasten. "Deus Vult en de Tempeliers rijden weer twee te paard ;)".
Meer geloof als wijsheid destijds, nu vaak meer geluk als wijsheid. De heersers in IT land vinden het allemaal wel prachtig, de zeer kleine echt fors profiterende clan des te meer. Je hoeft nergens verstand te hebben, wel diepe zakken.
Ik klaag niet, ik stel vast. Heeft men hier in het algemeen oog voor of laat men het toch liever voortwoekeren als een ondergrondse veenbrand, het "IT-moeras" in wording.
Zie https://cwatch.comodo.com/web-security-scanner-online/
en https://app.webinspector.com/?track=1716&key5sk1=e84dc3f705af70ab6c9cf21a99797d5814ee40db
Jodocus Oyevaer
Door Anoniem:
Maar dat zul je zelf ook wel moeten doen als je een certificaat wilt verlengen ofzo.
De dumbing-down heeft zowat die hele markt al getroffen hoor, De tijd dat je zelf een secret key maakte en dan
een signing request opstelde en naar je reseller stuurde die hem liet signeren die hebben we zo te zien achter ons
gelaten, overal werken die resellers met een of andere webpagina waar je je certificaat aanvraagt en dan maken ze
zelf de key en csr en sturen jou vervolgens de key en het certificaat op. Daarbij doen ze dan meer of minder moeite
om dat een beetje veilig te doen. Maar ze hebben dus wel je key.
Ik snap dat ook wel een beetje hoor, het is voor miep-die-ook-een-https-site-wil veel te moeilijk om lokaal de software
te installeren om die csr te maken en al helemaal om alle veldjes in die csr goed en naar de zin van de uitgever
te krijgen. En zo'n uitgever past zich aan naar het grootste klantvolume en richt zich op zo weinig mogelijk
supportcalls.
Dus de genoemde situatie is nu meer de regel dan de kwade uitzondering.
Door Briolet:
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Door buttonius: Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Ja en nee. Effectief voor het doel. Maar hiermee valt het bedrijf ook door de mand. Een reseller zou nooit over de privé sleutels van zijn klanten mogen beschikken. Bij een normale certificaat aanvraag verlaat de privé sleutel nooit de PC van de klant.
Als ik klant was van Trustico zou ik direct een andere firma opzoeken.
Maar dat zul je zelf ook wel moeten doen als je een certificaat wilt verlengen ofzo.
De dumbing-down heeft zowat die hele markt al getroffen hoor, De tijd dat je zelf een secret key maakte en dan
een signing request opstelde en naar je reseller stuurde die hem liet signeren die hebben we zo te zien achter ons
gelaten, overal werken die resellers met een of andere webpagina waar je je certificaat aanvraagt en dan maken ze
zelf de key en csr en sturen jou vervolgens de key en het certificaat op. Daarbij doen ze dan meer of minder moeite
om dat een beetje veilig te doen. Maar ze hebben dus wel je key.
Ik snap dat ook wel een beetje hoor, het is voor miep-die-ook-een-https-site-wil veel te moeilijk om lokaal de software
te installeren om die csr te maken en al helemaal om alle veldjes in die csr goed en naar de zin van de uitgever
te krijgen. En zo'n uitgever past zich aan naar het grootste klantvolume en richt zich op zo weinig mogelijk
supportcalls.
Dus de genoemde situatie is nu meer de regel dan de kwade uitzondering.
Ik heb eens een gratis certificaat (enige maanden geldig) bij Comodo aangevraagt, en moest in elk geval een wachtwoord voor dit certificaat opgeven, en kreeg deze toen via email opgestuurd. Het was mij toen al duidelijk dat Comodo dus over mijn certificaat en wachtwoord beschikte, en bleef beschikken.
Deze gratis mogelijkheid bestaat nog steeds https://www.comodo.com/home/email-security/free-email-certificate.php
02-03-2018, 16:28 door
sjonniev
Als je zo dom bent om op andermans computer private keys te genereren... En nog dommer, denkt dat-ie niet ergens bewaard blijven...
Ik heb ook wel eens een sleutelpaar (en wachtwoord) opgestuurd gekregen, nadat ik om de public key vroeg. En dan moet de verzender uitgelegd worden dat-ie ongeveer hetzelfde moet doen: voorkomen dat die keys ooit nog gebruikt kunnen worden voor het zetten van nieuwe handtekeningen of voor verse versleuteling. En er moeten nieuwe gemaakt worden, die moeten in HKP en/of LDAP gehangen worden, etc.
Een CSR, en bewijs van wie je bent, zou voldoende moeten zijn om een bruikbaar certificaat te kunnen krijgen. En als je dit makkelijker wilt maken, doe je dat aan de clientside. Niet in je webshopje.
Ik heb ook wel eens een sleutelpaar (en wachtwoord) opgestuurd gekregen, nadat ik om de public key vroeg. En dan moet de verzender uitgelegd worden dat-ie ongeveer hetzelfde moet doen: voorkomen dat die keys ooit nog gebruikt kunnen worden voor het zetten van nieuwe handtekeningen of voor verse versleuteling. En er moeten nieuwe gemaakt worden, die moeten in HKP en/of LDAP gehangen worden, etc.
Een CSR, en bewijs van wie je bent, zou voldoende moeten zijn om een bruikbaar certificaat te kunnen krijgen. En als je dit makkelijker wilt maken, doe je dat aan de clientside. Niet in je webshopje.
Door sjonniev: Als je zo dom bent om op andermans computer private keys te genereren... En nog dommer, denkt dat-ie niet ergens bewaard blijven...
Ja er is een hoop kapot gemaakt door dat "iedereen moet https gaan doen!".
Daardoor moet ineens de hele wereld certificaten kunnen aanvragen en je kunt natuurlijk niet verwachten dat die eerst
een studie gaan maken van wat sjonniev allemaal dom vindt.
Dus wat krijg je: de uitgevers (die de hete adem van de gratis certificaten in de nek voelen) gaan vanalles doen om hun
kosten te beperken en daaronder valt ook het aan klanten moeten uitleggen wat ze fout doen.
Dan is een self-service pagina heel wat beter.
Wat maakt het uit allemaal, maak je niet druk want het hele idee dat een certificaat te vertrouwen is daar is toch al
niks meer van over zeker als het geen EV is.
Door buttonius: Misschien was het lastig te bewijzen dat de certificaten gecomprimitteerd waren en simpeler om te bewijzen dat de privesleutels in de verkeerde handen waren. Dat heeft die directeur van Trustico bijzonder effectief gedaan. :-)
Door Anoniem:
Ja er is een hoop kapot gemaakt door dat "iedereen moet https gaan doen!".
Daardoor moet ineens de hele wereld certificaten kunnen aanvragen en je kunt natuurlijk niet verwachten dat die eerst
een studie gaan maken van wat sjonniev allemaal dom vindt.
Dus wat krijg je: de uitgevers (die de hete adem van de gratis certificaten in de nek voelen) gaan vanalles doen om hun
kosten te beperken en daaronder valt ook het aan klanten moeten uitleggen wat ze fout doen.
Dan is een self-service pagina heel wat beter.
Wat maakt het uit allemaal, maak je niet druk want het hele idee dat een certificaat te vertrouwen is daar is toch al
niks meer van over zeker als het geen EV is.
Door sjonniev: Als je zo dom bent om op andermans computer private keys te genereren... En nog dommer, denkt dat-ie niet ergens bewaard blijven...
Ja er is een hoop kapot gemaakt door dat "iedereen moet https gaan doen!".
Daardoor moet ineens de hele wereld certificaten kunnen aanvragen en je kunt natuurlijk niet verwachten dat die eerst
een studie gaan maken van wat sjonniev allemaal dom vindt.
Dus wat krijg je: de uitgevers (die de hete adem van de gratis certificaten in de nek voelen) gaan vanalles doen om hun
kosten te beperken en daaronder valt ook het aan klanten moeten uitleggen wat ze fout doen.
Dan is een self-service pagina heel wat beter.
Wat maakt het uit allemaal, maak je niet druk want het hele idee dat een certificaat te vertrouwen is daar is toch al
niks meer van over zeker als het geen EV is.
Je moet gewoon een programma installeren die automatisch Let's Encrypt certs afhandeld en dan is het klaar.
Volgens Kristian Kohntopp was Trustico van plan om hun klanten van Symantec naar Comodo over te zetten.
Comodo is ook niet onbeladen. Verander de bedrijfsnaam maar in Prutstico.Wie reageert eens op het volgende?
Tegenwoordige gepropageerde main policy:
"Alles door het zelfde hoepeltje jassen en zo veel mogelijk mono-cultuur op de infrastructuur".
De onveiligheidsgevolgen voor Jan en Alleman (TINF incluis) blijven dan ook niet uit
en de 1% Big Tech Corporaties varen er wel bij.
Ik zie bij Comodo nu ook al de risee inzetten. Doe eens een scannetje hier: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
Trouwens, beste Bitwiper, wat vind jij eigenlijk van deze certificeringsontwikkelingen?
luntrus
Tegenwoordige gepropageerde main policy:
"Alles door het zelfde hoepeltje jassen en zo veel mogelijk mono-cultuur op de infrastructuur".
De onveiligheidsgevolgen voor Jan en Alleman (TINF incluis) blijven dan ook niet uit
en de 1% Big Tech Corporaties varen er wel bij.
Ik zie bij Comodo nu ook al de risee inzetten. Doe eens een scannetje hier: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
Trouwens, beste Bitwiper, wat vind jij eigenlijk van deze certificeringsontwikkelingen?
luntrus
03-03-2018, 22:41 door
Bitwiper
Door Anoniem:Trouwens, beste Bitwiper, wat vind jij eigenlijk van deze certificeringsontwikkelingen?
luntrus
Als je als je certificatenboer meent je klanten een dienst te bewijzen door sleutelparen voor ze te genereren (m.i. een slecht idee), dan hoor je de private keys niet te bewaren en zeker niet te e-mailen.luntrus
Klanten die dit is overkomen, zijn een oor aangenaaid. Hen is een product verkocht dat voortijdig, met -naar verluidt- commerciële motieven, door de leverancier onbruikbaar is gemaakt. Als ik klant was, zou ik een schadevergoeding eisen en nooit meer zakendoen met deze club.
Overigens lijkt ook SSLDirect.com betrokken, zie https://www.theregister.co.uk/2018/03/01/trustico_website_offline/.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
