23000 شهادة HTTPS محطمة بعد رسائل البريد الإلكتروني للرئيس التنفيذي مفاتيح خاصة

تم إلغاء شهادات 23000 HTTPS بعد قيام المدير التنفيذي بإرسال بريد إلكتروني إلى المفاتيح الخاصةتكبير الحياة المطلوبة

حدث توقف كبير في أحد منتديات المناقشة على الإنترنت أسئلة مقلقة حول أمان بعض المتصفح الموثوق به شهادات HTTPS عندما كشفت المدير التنفيذي للشهادة أرسل البائع عبر البريد الإلكتروني إلى الشريك المفاتيح الخاصة الحساسة لـ 23،000 شهادات TLS.

قراءة متعمقة

تنقل Google شركة Symantec إلى منصة التحميل بسبب سوء إصدارها لـ 30000 HTTPS certs [محدث] تم إرسال البريد الإلكتروني يوم الثلاثاء من قبل الرئيس التنفيذي لشركة Trustico ، موزع في المملكة المتحدة من شهادات TLS الصادرة عن المراجع المصدقة الموثوق بها المستعرض Comodo و ، حتى وقت قريب ، سيمانتيك. تم إرسالها إلى جيريمي رولي ، نائب الرئيس التنفيذي في DigiCert ، المرجع المصدق الذي حصل على Symantec أعمال إصدار الشهادات بعد اكتشاف سيمانتيك بالاستهزاء قواعد الصناعة الملزمة ، مما دفع جوجل إلى عدم الثقة سيمانتيك شهادات في متصفح كروم. في الاتصالات في وقت سابق هذا الشهر ، أبلغت Trustico DigiCert أن 50000 الصادرة عن سيمانتيك شهادات Trustico قد بيعت ينبغي إبطال الشامل بسبب مخاوف أمنية.

متعجرف بشكل مثير للصدمة

عندما طلب رولي إثباتًا ، تم اختراق الشهادات ، أرسل المدير التنفيذي Trustico عبر البريد الإلكتروني مفاتيح خاصة من 23000 شهادة ، وفقًا لحساب تم نشره في منتدى سياسة الأمان في Mozilla. أنتج التقرير جماعية بين العديد من الأمن الممارسين الذين قالوا انها أظهرت متعجرف بشكل مثير للصدمة معالجة الشهادات الرقمية التي تشكل واحدة من أكثر الأسس الأساسية لأمن الموقع.

بشكل عام ، يجب أن مفاتيح خاصة لشهادات TLS لا تتم أرشفة الموزعين أبدًا ، وحتى في الحالات النادرة حيث مثل هذا التخزين مسموح به ، ويجب الحفاظ عليه بإحكام. أ الرئيس التنفيذي القدرة على إرفاق مفاتيح 23000 الشهادات إلى البريد الإلكتروني يثير مخاوف مقلقة من أن هذه الأنواع من أفضل الممارسات لم يتبع. (لا يوجد أي مؤشر على تشفير البريد الإلكتروني ، إما ، على الرغم من أن Trustico و DigiCert لم يقدما تلك التفاصيل عند الرد على الأسئلة.) النقاد الآخرين يؤكدون Trustico عبر البريد الإلكتروني المفاتيح في محاولة لإجبار العملاء مع الشهادات الصادرة عن سيمانتيك للانتقال إلى الشهادات الصادرة عن كومودو. على الرغم من تولي DigiCert إصدار شهادة سيمانتيك الأعمال التجارية ، فإنه لا يعتبر Trustico كمورد.

وفي بيان ، قال مسؤولو Trustico إن المفاتيح قد تم استردادها من “التخزين البارد” ، وهو مصطلح يشير عادة إلى وضع عدم الاتصال أنظمة التخزين.

“Trustico يسمح للعملاء لإنشاء شهادة التوقيع طلب ومفتاح خاص أثناء عملية الطلب ، “البيان اقرأ. “يتم تخزين هذه المفاتيح الخاصة في التخزين البارد الغرض من الإلغاء “.

يثير النقاش أيضًا أسئلة جديدة حول سيمانتيك الالتزام بالقواعد الملزمة للصناعة خلال الوقت الذي كانت فيه المرجع المصدق الموثوق به للمستعرض الذي سمح Trustico ل بيع شهاداتها. تحت متطلبات خط الأساس ل منتدى مستعرض شهادات الشهادة ، لا يُسمح للبائعين بذلك أرشفة شهادة المفاتيح الخاصة. البريد الإلكتروني يثير شبح وكانت Trustico تفعل ذلك عندما عرضت قبولها طلبات توقيع الشهادات على موقعها على شبكة الإنترنت. كحامل لل شهادة الجذر المستخدمة للتوقيع على شهادات TLS كانت Trustico إعادة البيع ، كانت سيمانتك مسؤولة في النهاية عن ضمان ذلك كان يجري اتباع الشرط ، على الرغم من الإنصاف ، كان هناك ربما لا توجد وسيلة لسيمانتيك للكشف عن انتهاك. Trusticoكما دعا المسؤولون أمن سيمانتك إلى التشكيك الأربعاء عندما أعربوا عن مخاوفهم الخطيرة من سيمانتيك التعامل مع حساب Trustico تستخدم لإعادة بيع الشهادات.

“خلال مناقشاتنا الكثيرة خلال الأسبوع الماضي ، قمنا بتوجيهها إليك أننا نعتقد أن سيمانتك قامت بتشغيل حسابنا بطريقة ما حيث تم اختراقه ، “كتب مسؤولو Trustico. وتابعوا: “نعتقد أن الطلبات المقدمة عبر سيمانتيك لدينا كان الحساب في خطر وكانت تدار بشكل سيء. لقد كنا استجواب سيمانتيك دون إجابة بخصوص البنود المتعلقة بـ حوالي سنة. تجاهلت سيمانتيك ببساطة مخاوفنا وظهرت دفنهم تحت العدد القادم الذي نشأ “.

لم يرد مسؤولو سيمانتيك على رسالة بريد إلكتروني تسعى للحصول على تعليق لهذا المنصب.

يأتي رفرف الأربعاء بعد أن أمضت Google و Mozilla سنوات في محاولة لتأمين أفضل أمان شهادات المتصفحات الخاصة بهم ثقة. شفافية DigiCert والالتزام بها متطلبات يدل على أن العديد من السلطات شهادة و الباعة يتصرفون بحسن نية. لسوء الحظ ، فإن الطريق تعمل عملية إصدار شهادة TLS على الإنترنت ، وهي نقطة واحدة الفشل هو كل ما يتطلبه الأمر لإيجاد حلول وسط تعرض للخطر النظام بأكمله. يمكن للقراء توقع أن تنفق Google و Mozilla الكثير من الوقت والموارد في الأسابيع المقبلة كشف انهيار التي جاءت للضوء الأربعاء.

قراءة متعمقة

أصبح موقع Trustico مظلمًا بعد أن يسقط شخص ما عيبًا حرجًا TwitterUpdate: بعد عدة ساعات من نشر هذا المنشور ، أصبح موقع Trustico غير متصل بالإنترنت بعد نشر خبير أمان الويب ثغرة حرجة على تويتر. العيب ، في trustico.com ميزة الموقع التي سمحت للعملاء لتأكيد الشهادات كانت مثبتة بشكل صحيح على مواقعها ، ويبدو أن السماح للمهاجمين ل تشغيل تعليمة برمجية ضارة على خوادم Trustico مع “الجذر” غير المقيد الامتيازات.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: