Kopi af private nøgler videresendt på mail: Nu får 23.000 certifikater kniven

Illustration: leowolfert/Bigstock
Kedelig oplevelse for websites skyldes kompromittering hos udstederen.

Kunder, der har købt HTTPS-certifikater hos den britiske forhandler Trustico, står til at få skrottet certifikaterne inden for de næste 24 timer. Det drejer sig om 23.000 certifikater, skriver mediet The Register.

Det sker, efter Trustico kopierede de privat-nøgler, som kun kunderne må have i hænde. For at gøre ondt værre, sendte Trustico de private certifikater videre i en email.

Ved hjælp af den private nøgle kan eksempelvis et ondsindet site udgive sig for at være den retmæssige nøgleindehaver.

Ifølge Digicert, der udsteder det såkaldte rod-certifikat, der gør Trustico i stand til at udstede og sælge certifikater til virksomhedens kunder, meddelte Trustico i starten af februar, at de 23.000 certifikater var kompromitterede, og derfor skulle nulstilles.

Da Digicert udbad sig en nærmere forklaring, skrev Trustico, at firmaet lå inde med kopier af kundernes private nøgler. For at dokumentere påstanden, medsendte Trustico de 23.000 nøgler i en email til Digicert.

Det betyder, at Digicert ifølge reglerne på området, er tvunget til at nulstille certifikaterne indenfor 24 timer.

»Trustico har ikke viderebragt information om, hvordan disse certifikater blev kompromitteret, eller hvordan firmaet fik de private nøgler i hænde,« skriver Digicerts produktchef Jeremy Rowley i en meddelelse.

Han forklarer yderligere, at Digicert i overensstemmelse med praksis på området, aldrig har været i besiddelse af kundernes private nøgler. Trustico har bedt Digicert om at nulstille flere certifikater end de 23.000, men Digicert har afvist dette, indtil Trustico fremlægger yderligere beviser.

Trustico har ikke kommenteret sagen overfor The Register, men har i en meddelelse givet til kende, at firmaet er oprevet over, at Digicert har henvendt sig direkte til Trusticos kunder.

»Vi har ikke givet Digicert lov til at kontakte vores kunder, og vi billiger ikke indholdet i mailen,« skriver firmaet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gundtofte-Bruun

De skal have en meget god spin doktor for at beholde nogen credibility efter sådan en tur. Hvem er dum nok til at sende nøgler med posten? Hvad var ideen i overhovedet at have en kopi af den private nøgle -- hvem tror de de er, NemID?

  • 14
  • 0
Log ind eller Opret konto for at kommentere