23.000 Zertifikate widerrufen

Quelle: Tim Evans auf Unsplash

 

Es ist hinlänglich bekannt, dass das Ausstellen von TLS-Zertifikaten für die Certificate Authorities (CA) eine Lizenz zum Gelddrucken ist. Zudem ist auch hinlänglich belegt, dass die CAs, die eigentlich besonders vertrauenswürdig sein sollten, nicht immer nach den Regeln spielen. Gerade erst verlor Symantec als CA das Vertrauen von Google, da sich die CA nicht an fundamentale Regeln des Kontrollgremiums CA/Browser Forum  gehalten hatte. Symantec verkaufte die Zertifikatssparte daraufhin an DigiCert, eine der ganz großen CAs.

Befremdliche Anfrage

Was jetzt allerdings im Nachgang der Symantec-Affäre über Zertifikats-Wiederverkäufer Trustico bekannt wurde, lässt die Haare zu Berge stehen. Der Geschäftsführer hat laut einem Bericht von DigiCert vor einigen Tagen den Widerruf von rund 50.000 Zertifikaten von Symantec, GeoTrust, Thawte and RapidSSL eines bestimmten Zeitraums beantragt, die Trustico als Reseller ausgestellt hatte, da diese kompromittiert seien. Man wolle diese Zertifikate an die CA Comodo übertragen.

Tatbestand erfüllt

DigiCert teilte daraufhin mit, ein solcher Massenwiderruf sei nur möglich, wenn die Zertifikate kompromittiert seien. Daraufhin übersandte der Trustico-Geschäftsführer über 23.000 private Schlüssel per E-Mail an DigiCert, womit der Tatbestand der Kompromittierung klar erfüllt war. Das Schlüsselwort hier ist natürlich »privat«, aber dazu kommen wir noch. Ob hier Vorsatz oder einfach nur Unfähigkeit am Werk war ist unklar.

Schaden beim Kunden

Dadurch war DigiCert nun gezwungen, die Zertifikate, zu denen diese Schlüssel gehörten, innerhalb von 24 Stunden zu widerrufen. So verlangen es die Regeln des  CA/Browser Forums. Später gab der Trustico-CEO an, die Kompromittierung sei bereits infolge der Tatsache gegeben, dass Google den ehemals von Symantec ausgestellten Zertifikaten mit der im März erwarteten Veröffentlichung vom Googles Browser Chrome 66 nicht mehr vertraue. DigiCert stellt klar, das sei nicht der Fall. Als Nachfolger von Symantecs CA stelle man allen betroffenen Kunden kostenfrei Ersatz-Zertifikate zur Verfügung. Sowohl eine Stellungnahme von Trustico als auch deren Webseite zum Erstellen von Zertifikaten sind derzeit wegen Server-Überlastung nicht zu erreichen.

Laientheater

Was ist hier nun schiefgelaufen, außer das ein offensichtlich von den Anforderungen an seinen Job völlig überforderter Geschäftsführer massenweise private Schlüssel per Mail versendet? Schiefgelaufen ist, dass er diese privaten Schlüssel gar nicht erst hätte haben dürfen. Private Schlüssel sollten den Rechner, auf dem sie erstellt wurden, nicht verlassen, denn sonst sind sie nicht mehr privat. Deshalb wird immer ein Schlüsselpaar erstellt, das neben dem privaten auch einen öffentlichen Schlüssel enthält.

Schlimmer gehts nimmer

Das Geschäftsmodell von Trustico sieht allerdings vor, die Schlüssel im Browser auf der Webseite der CA zu erstellen bevor die Anfrage nach Ausstellung eines Zertifikats getätigt wird. Die dabei erzeugten privaten Schlüssel hat Trustico offensichtlich abgegriffen und (nach eigenen Aussagen) auf einem nicht mit dem Netz verbundenen Rechner gespeichert, um einen späteren eventuellen Widerruf zu vereinfachen. Schlimmer gehts nimmer. Wer so fundamental Regeln mißachtet, sollte nicht als CA tätig sein dürfen.

Edit: 2. März 12:45

Es geht doch noch schlimmer. Wie Golem heute berichtet, fand sich auf der Webseite von Trustico eine Möglichkeit für eine Script-Injection-Attacke, mit der man Code mit Root-Rechten ausführen konnte. Auf Twitter wurden Fotos von solchen Angriffen gepostet, die über das Eingabefeld zur Domain-Verifizierung ausgeführt wurden. Entgegen der Aussage im Bericht von Golem ist die Webseite wieder online.

 

 

Beitrag kommentieren

Alle Kommentare