DIGICERT đã công bố kế hoạch thu hồi hơn 23.000 chứng thư số được bán lại bởi công ty Trustico của Anh sau những cáo buộc về “sự cố bảo mật” nghiêm trọng tại công ty.
Theo phó chủ tịch của DigiCert, Jeremy Rowley, Trustico đã yêu cầu thu hồi vào đầu tháng hai vì vi phạm, nhưng sau đó lại gửi email cho DigiCert tất cả các chìa khóa cá nhân của các chứng chỉ khách hàng – điều mà nó không bao giờ nên có.
DigiCert đã hồi đáp bằng cách thu hồi hàng loạt tất cả 23.000 giấy chứng nhận trong tuần này với lý do Trustico không bao giờ nên lưu giữ khóa riêng của khách hàng.
“Vào ngày 2 tháng 2 năm 2018, chúng tôi đã nhận được yêu cầu từ Trustico để thu hồi toàn bộ tất cả các chứng chỉ đã được người mua đặt mua qua Trustico,” Rowley đã viết trong một bài viết bảo mật trực tuyến phi thường .
“Thật không may, email đã không được gửi đến các kênh báo cáo sự cố chứng chỉ thích hợp và không được báo cáo ngay lập tức vì vậy chúng tôi sẽ chậm trễ trong việc chia sẻ những lo ngại và thông tin.”
DigiCert không thể thu hồi các khoá mà không có bằng chứng thỏa hiệp phù hợp với các quy tắc, hoặc sự đồng ý của chủ sở hữu chứng chỉ.
“Công ty chia sẻ với chúng tôi rằng họ đã giữ chìa khóa riêng và giấy chứng nhận đã bị tổn hại, cố gắng kích hoạt yêu cầu hủy bỏ 24 giờ của BR [yêu cầu cơ bản]. Tuy nhiên, chúng tôi khẳng định rằng thuê bao phải xác nhận yêu cầu huỷ bỏ hoặc phải có bằng chứng của sự thỏa hiệp cá nhân-chìa khóa “, Rowley tiếp tục.
“Ngày 2/27/2018, theo yêu cầu của tôi về bằng chứng thoả hiệp, chúng tôi đã nhận được một tập tin với 23.000 khóa cá nhân phù hợp với khách hàng Trustico cụ thể. Điều này đã kích hoạt yêu cầu xử lý hủy bỏ 24 giờ của chúng tôi …
“Một khi chúng tôi nhận được chìa khóa, chúng tôi đã xác nhận rằng đây thực sự là chìa khóa riêng tư cho các chứng chỉ được báo cáo”, ông viết, thêm rằng: “Vào thời điểm này, Trustico đã không cung cấp bất kỳ thông tin về làm thế nào các chứng chỉ đã bị tổn hại hoặc làm thế nào họ có được khóa cá nhân.Đối với thực tiễn chuẩn cho tổ chức phát hành chứng chỉ, DigiCert chưa bao giờ sở hữu các khóa cá nhân này “.
Trustico trả lời bằng một tuyên bố trên trang web của mình nhằm cố gắng biện minh cho hành động của mình.
Họ tuyên bố rằng họ đang tham gia vào việc thu hồi và thay thế các chứng thư số của Symantec – Symantec đã bán chứng chỉ số cho DigiCert sau một loạt các vụ xì căng đan mà các nhà sản xuất trình duyệt chính tỏ ra “nghi ngờ” .
“Chúng tôi đã liên lạc với DigiCert nhiều lần trong tuần qua để thông báo cho họ rằng chúng tôi không còn cho phép họ giữ các chứng chỉ SSL đang hoạt động của chúng tôi trên nền tảng của họ,” theo tuyên bố Trustico .
“Chúng tôi tin tưởng rằng các đơn đặt hàng qua tài khoản Symantec của chúng tôi đều có nguy cơ và bị quản lý không tốt. Đối với lương tâm, chúng tôi quyết định không nên có bất kỳ chứng chỉ SSL hoạt động nào trên hệ thống Symantec, cũng như bất kỳ sản phẩm nào không đáp ứng các yêu cầu an toàn nghiêm ngặt của chúng tôi .
“Mối quan tâm của chúng tôi cũng liên quan đến sự nghi ngờ sắp tới đối với tất cả các thương hiệu chứng chỉ Symantec SSL trong Google Chrome …
“Không bao giờ chúng tôi tin rằng chúng tôi đã xâm nhập bất kỳ khóa riêng nào, mặc dù theo yêu cầu của DigiCert, chúng tôi đã cung cấp chìa khóa riêng cho họ để tạo điều kiện cho yêu cầu hủy bỏ”, công ty này cho biết, thừa nhận rằng họ đang giữ cho khoá cá nhân SSL của khách hàng ‘.
Chúng tôi tin tưởng rằng chúng tôi đã hành động phù hợp với các thoả thuận và thông tin mà cả DigiCert và Symantec® đã đưa ra kết luận: “Thật không may, mọi thứ đã không tốt cho chúng tôi ngày hôm nay và chúng tôi vô cùng xin lỗi vì sự nhầm lẫn và bất tiện đã gây ra. đã áp đặt và cung cấp cho chúng tôi.