Trustico und DigiCert: Widerruf von 23.000 SSL-/TLS-Zertifikaten
Viele Kunden von Trustico bekommen derzeit Mails, dass einige Zertifikate von Webseiten bald ungültig sind. Die Geschichte dahinter lässt Zweifel an der Vertrauenswürdigkeit des SSL-Resellers aufkommen.
(Bild: Pixabay)
23.000 über den Reseller Trustico verkaufte und aktive SSL-/TLS-Zertifikate von Symantec und weiteren Zertifizierungsstellen (CAs) müssen widerrufen werden. Darauf wiesen heise Security mehrere Leser hin, die entsprechende E-Mails erhalten haben.
Alles begann mit einer Mail von Trustico an DigiCert. DigiCert bietet Zertifikate von GeoTrust, RapidSSL, Symantec und Thawte an. Diese kann man beim Reseller Trustico erstehen. In der Mail wies Trustico DigiCert dazu an, 50.000 Zertifikate zu widerrufen. Konkrete Gründe dafür sollen nicht in der Nachricht gestanden haben.
Schindluder mit privaten Schlüsseln
DigiCert lehnte das Anliegen ab und wies darauf hin, dass das nur geschehen kann, wenn beispielsweise die privaten Schlüssel der Zertifikate kompromittiert wären. Als Antwort darauf soll Trustico die privaten Schlüssel von 23.000 Zertifikate unverschlüsselt per Mail an DigiCert geschickt haben.
Ein derartiger Umgang mit privaten Schlüsseln verstößt gegen die Anforderungsbasislinie des CA/Browser Forum. Dieser freiwillige Zusammenschluss von Zertifizierungsstellen (CAs) und Browser-Herstellern definiert Sicherheitsstandards für CAs und Webbrowser und ist somit ein zentrales Konsortium, wenn es um die Verschlüsselung im Internet geht.
Das Ergebnis des Vorfalls ist, dass die Zertifikate als Vorsichtsmaßnahme innerhalb von 24 Stunden für ungültig erklärt werden müssen – was DigiCert derzeit erledigt. Fallen private Schlüssel von Zertifikaten in die Hände von Angreifern, könnten diese die Schlüssel für eigene Zwecke missbrauchen und Identitäten von Webseiten fälschen. Doch auch ein Reseller sollte nicht im Besitz von privaten Schlüsseln sein. Diese gehören alleinig dem Betreiber einer Webseite.
CA-Machtkampf auf dem Rücken von Kunden?
Trustico informiert betroffenen Kunden derzeit in einer E-Mail darüber, dass sie einen Gratis-Coupon für ein neues Zertifikat erhalten. Im gleichen Atemzug teilen sie auch mit, dass sie keine Zertifikate mehr von Symantec & Co. anbieten wollen. Der Grund dafür ist, dass Googles Webbrowser Chrome ab April diesen Zertifikaten nicht mehr vertraut und damit ausgestattete Webseiten als unsicher kennzeichnet. Als Ersatz hat Trustico nun Zertifikate vom Mitbewerber Comodo im Programm. DigiCert will in diesem Fall wiederum kostenlosen Ersatz für die ungültig erklärten Zertifikate von Symantec & Co. anbieten.
Diese Umstände werfen kein gutes Licht auf Trustico, schließlich fußt der Umgang mit Zertifikaten zur Transportverschlüsselung und Wahrung von Identitäten im Internet auf Vertrauen – und das hat Trustico durch diese Aktion arg strapaziert.
[UPDATE 02.03.2018 08:50 Uhr]
Verweis, dass private Schlüssel bereit im Internet aufgetaucht sind, aus Fließtext entfernt. (des)
