image

Trustico: DigiCert wist dat wij privésleutels van klanten hadden

vrijdag 23 maart 2018, 14:43 door Redactie, 4 reacties

Certificaatautoriteit DigiCert wist dat ssl-reseller Trustico de privésleutels van klanten bezat, zo heeft de laatstgenoemde bekendgemaakt. Begin deze maand besloot DigiCert 20.000 tls-certificaten van Trustico in te trekken omdat de directeur de privésleutels van deze certificaten, die eigenlijk alleen bij de eigenaar bekend mogen zijn, per e-mail naar DigiCert had gestuurd.

Trustico levert tls-certificaten van Symantec, die binnenkort door Google Chrome niet meer worden vertrouwd. Volgens DigiCert had de directeur van Trustico gevraagd om de bij Symantec aangevraagde certificaten in te trekken omdat die gecompromitteerd zouden zijn. DigiCert vroeg naar eigen zeggen om bewijs, maar dat werd niet door Trustico geleverd. Wel liet de directeur van de reseller weten dat het de privésleutels van deze certificaten bezat en stuurde vervolgens 20.000 privésleutels per e-mail naar DigiCert. Hierdoor had DigiCert, gezien de regels die voor certificaatautoriteiten gelden, geen andere optie dan de certificaten in te treken.

Volgens Kristian Kohntopp was Trustico van plan om hun klanten van Symantec naar certificaatautoriteit Comodo over te zetten. De reseller vroeg DigiCert, dat de certificaattak van Symantec heeft overgenomen, zoals gezegd om de certificaten die ze aan hun klanten hadden verkocht in te trekken. Aangezien er niet werd voldaan aan de vereisten om de certificaten in te trekken weigerde DigiCert dit. Certificaten worden wel ingetrokken als de privésleutel bij iemand anders dan de eigenaar van het certificaat bekend is. Daarop zou Trustico de privésleutels opzettelijk hebben gemaild.

In een nieuwe verklaring ontkent Trustico de gang van zaken. De reseller stelt dat het in het belang van de klanten heeft gehandeld. Daarbij zegt het bedrijf dat het in de media geschetste beeld niet klopt. Zo zou DigiCert al voordat de privésleutels per e-mail werden verstuurd hebben geweten dat Trustico van sommige klanten de privésleutels bezat. Trustico biedt klanten een tool voor het genereren van privésleutels, waarbij de reseller de privésleutels in beheer houdt. Deze tool zou met steun van Symantec zijn ontwikkeld.

Ook zou Trustico niet hebben gevraagd om de certificaten in te trekken omdat de privésleutesl waren gecompromitteerd, maar omdat de certificaten niet volgens de regels waren uitgegeven. Verder laat Trustico weten dat het niet opzettelijk de privésleutels van klanten heeft gelekt. De privésleutels zouden "onder protest" aan DigiCert zijn verstrekt. Klanten zouden daarnaast zijn ingelicht over het plan om de certificaten in te laten trekken. De melding zou echter bij veel klanten in de spamfolder terecht zijn gekomen, geweigerd door de host of niet zijn gelezen. Afsluitend meldt Trustico dat het als gevolg van de "misrepresentatie" grote schade heeft geleden en nu naar de "juridische positie" kijkt.

Reacties (4)
23-03-2018, 21:46 door Anoniem
ik had een certificaat bij Trustico en heb het via hun web-interface gegenereerd 3 jaar geleden, alleen dat ze de private key ook zelf zouden bewaren is mij nooit verteld. En dat ze vooraf mailtjes verstuurd hebben dat het certificaat in getrokken zou gaan worden klopt ook niet! Dat Symantec/DigitCert er vanaf wist dat geloof ik nog wel want die club heeft zelf ook genoeg fouten gemaakt in het verleden.
24-03-2018, 19:59 door Anoniem
Door Anoniem: ik had een certificaat bij Trustico en heb het via hun web-interface gegenereerd 3 jaar geleden, alleen dat ze de private key ook zelf zouden bewaren is mij nooit verteld. En dat ze vooraf mailtjes verstuurd hebben dat het certificaat in getrokken zou gaan worden klopt ook niet! Dat Symantec/DigitCert er vanaf wist dat geloof ik nog wel want die club heeft zelf ook genoeg fouten gemaakt in het verleden.
Hoe ging dat dan? Normaliter maak je een Signing request aan op je eigen server en laat je het signeren door de Ca. Je private key komt in zn geheel niet bij een Ca terecht.
26-03-2018, 09:47 door Anoniem
Door Anoniem:
Door Anoniem: ik had een certificaat bij Trustico en heb het via hun web-interface gegenereerd 3 jaar geleden, alleen dat ze de private key ook zelf zouden bewaren is mij nooit verteld. En dat ze vooraf mailtjes verstuurd hebben dat het certificaat in getrokken zou gaan worden klopt ook niet! Dat Symantec/DigitCert er vanaf wist dat geloof ik nog wel want die club heeft zelf ook genoeg fouten gemaakt in het verleden.
Hoe ging dat dan? Normaliter maak je een Signing request aan op je eigen server en laat je het signeren door de Ca. Je private key komt in zn geheel niet bij een Ca terecht.

Normaliter niet idd, vandaar ook de procedure certificaten in te trekken zogauw daarvan afgeweken wordt...

Trustico had dit nooit mogen doen; ongeacht of DigiCert ervan zou weten, dat ze dit hebben gedaan kan alleen maar aantonen dat men de werking van de CA niet helemaal begrijpt; minstens kwalijk.
26-03-2018, 10:47 door sjonniev
"De reseller stelt dat het in het belang van de klanten heeft gehandeld." is 100% in tegenspraak met "Trustico biedt klanten een tool voor het genereren van privésleutels, waarbij de reseller de privésleutels in beheer houdt."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.