23000名用户SSL证书失效,两公司因赛门铁克起纠纷
发布日期:2018-03-26截止到2018年3月1日上午,超过23000名用户将因英国 Trustico 与美国 DigiCert 两家公司间的纠纷而遭遇 SSL 证书撤销。此次事件可能在未来几个月当中对整个CA(证书颁发机构)行业产生巨大影响。
这一“传奇性”的事件源自日前广泛发布的一封电子邮件,互联网上规模最大的证书颁发机构 DigiCert 公司向超过23000名通过英国经销商 Trustico 获取 SSL 证书的客户发送了这份通告。
Trustico欲退回证书与Comodo合作
DigiCert 公司指出,由于Trustico 公司发生安全事故,他们不得不撤销全部已被颁发给 Trustico 公司的证书——其中也包括已经被后者出售给客户的证书。Trustico 公司总经理 Zane Lucas 则否认该公司曾遭遇任何安全事故。
此次事件已经呈现出极为复杂的面貌,因此我们只能根据本文截稿时两家公司的陈述整理出以下时间表。
第一回合
2018年2月2日,Trustico 公司向 DigiCert 发出一封邮件,要求后者撤销由其管理的总计约5万份证书。Trustico 公司放弃合同,开始转售赛门铁克证书(目前同样归属于 DigiCert)并开始与 Comodo 方面开展合作。
DigiCert 公司拒绝了这一批量撤销5万份证书的请求并表示,目前的行业规则尚未明确规定“证书经销商”能否撤销其出售给客户的 SSL 证书,或者是否只有最终用户才能单独申请证书撤销。
第二回合
Trustico 公司表示,DigiCert 方面决定于2018年2月25日中止双方的合同,此后 Trustico 公司又表示其希望就此事“征询法律意见”。
2018年3月1日,DigiCert 公司通过 Twitter 接受采访时,一位员工确认称两家企业之间的合同义务将在30天之内中止。在证书处理方面,DigiCert 方面向 Trustico 公司发布通知,表示若后者能够提供证明客户私钥遭到破坏的相关证据,则可批量吊销相关证书。
时间线
2018年2月27日,DigiCert 公司收到来自 Trustico 公司的电子邮件,其中包含超过23000条客户 SSL 证书的私钥。 根据 CA 行业规则,颁发机构可以在安全事件发生后的24小时内撤销受损证书,于是 DigiCert 开始着手对邮件中包含的23000份受损证书进行批量撤销。
2018年3月1日,DigiCert 公司向超过23000家 Trustico 客户发出邮件通知,表示其证书将被撤销。目前尚不清楚 DigiCert 方面的此次邮件通报行为是否得到授权。
安全专家们对此议论纷纷
一部分安全专家公开指责 Trustico 公司涉嫌对客户的 SSL 证书私钥进行非法记录。从原则角度来讲,证书颁发机构与负责销售SSL证书的厂商不应持有这些私钥的副本。
甚至 DigiCert 公司 COO Flavio Martins 也地此表示惊讶,因为Trustico方面确实向其发送了一封包含超过23000份客户私钥的电子邮件。
专业人士们普遍认为(但目前尚未得到最终证实),是Trustico方面在以自动化方式执行CSR(即证书签名请求)流程以生成SSL证书,但在这一颁发过程当中保留了客户的私钥副本。
DigiCert 方面向 Mozilla 公司通报了此次23000份私钥遭到泄露的事实,并承诺将后续公布相应私钥,从而提醒各浏览器开发商将其添加至黑名单当中。
Trustico 公司则对 DigiCert 的报告作出回应,表示并不存在任何安全事故,Trustico 公司总经理 Zane Lucas 表示从未存在私钥泄露状况。
Trustico 公司并没有解释这23000份私钥的来源。该公司亦没有回应我们发出的评论请求。
第三回合:Trustico 不想要赛门铁克的证书
Trustico 公司指出,其之所以希望撤销50000份 DigiCert 证书,原因在于赛门铁克。DigiCert 公司收购了赛门铁克的 SSL 证书颁发业务。这50000份证书由赛门铁克的旧有网络颁发,而并非由 DigiCert 直接授予。
谷歌公司曾于2017年宣布其曾因使用赛门铁克证书而多次遭遇安全事故。如今,Trustico 方面表示其对于赛门铁克(以及作为其持有方的DigiCert)正确管理基础设施的能力已经失去信心。
Trustico 公司总经理 Zane Lucas 强调称,“我们认为赛门铁克证书会对我们的帐户产生损害,通过赛门铁克帐户下达的订单可能面临风险以及管理不善问题。我们一直在向赛门铁克方面提出质询,但后者在一年周期内始终示作出回应。赛门铁克公司根本无视我们的担忧,这将直接给未来的安全事故埋下祸根。”
Lucas补充称,“出于良知,我们认为在赛门铁克系统上安装 SSL 证书的作法并不可取,也不符合我们严格的安全要求。然而,在DigiCert 公司接手之后,同一管理团队将继续全面接掌我们的帐户,这引起了我们的高度关注。虽然该团队在易手之后迎来了新的名称,但我们仍然是赛门铁克糟糕 SSL 证书的受害者,但对方甚至发出秘密通知要求我们对此保持沉默。”
Lucas表示,Trustico 公司的证书撤销工作完成后,网站拥有者将获得替代证书,因此不会因赛门铁克/DigiCert 证书的撤销而遭遇问题,23000多名用户/企业全体在网站及应用中迎来 HTTPS 安全错误。
与此同时,尽管 Trustico 公司作出直接要求,但 DigiCert 并没有对前者要求范围内的另外27000份用户证书进行撤销,理由是其没能提供违规证据。Mozilla 公司也对 DigiCert 的这一判断表示支持。
SSL 经销商不应记录客户SSL私钥
整个事件很可能以其中一家公司遭受制裁而结束。无论结果如何,证书颁发行业将很快以投票方式发布新规则,从而澄清证书转售商的权利范围及其对最终客户证书所具有的处置权水平。
此外,根据多位安全研究人员们的意见,行业可能需要全面调查各 SSL 经销商是否存在记录客户SSL私钥的行为。
因此事件的结果已经不再重要,真正重要的是这一切都交被诉讼法律,相关问题将长期僵持下去,并最终由法庭给出判断与结论。
文章来源:E安全