パスワードを忘れた? アカウント作成
13541849 story
インターネット

SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙 114

ストーリー by hylom
この業者の信用も失墜するのでは 部門より

昨年、SymantecがSSL/TLS証明書関連事業をDigiCertに売却することが報じられた。これに関連して、英国のSSL/TLS証明書再販業者・TrusticoがDigiCertに対し、Trusticoが販売したSymantecの証明書が「汚染」されていると主張、無効にするよう求めたそうだ。DigiCertがその証拠を求めたところ、Trusticoは証明書の秘密鍵を暗号されていないメールで送りつけるという暴挙に出たという(mozilla.dev.security.policyグループへの投稿registerBoing BoingGIGAZINE)。

本来販売された証明書の秘密鍵はその所有者(購入者)のみが保有しているはずで、なぜTrusticoが秘密鍵を保有していたのかは不明。これに加えてメールで秘密鍵を送ることも、証明書を発行する認証局に対する要件を定めるBassline Requirements(BR)に違反している。そのためメールで送りつけられた秘密鍵に関連する23000件の証明書が無効化される事態になったという。

TrusticoはかつてSymantecの証明書を扱っていたがDigiCertとは取引しておらず、SymantecがDigiCertに事業を譲渡した後はComodoの証明書の再販を行っている。また、ChromeやFirefoxでは今年後半にSymantecブランドの証明書が無効化される予定。そのため、Symantec系の証明書を現時点で無効化させることで顧客を強制的にComodoの証明書に移行させることをもくろんでいるのではないかとみられている(registerの続報)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 誰でも見れるように送ったら秘密鍵じゃなくて公開鍵ですね。

    • by Anonymous Coward

      公開鍵ちゅーより全裸鍵だな。
      公然猥褻でタイーホ。

  • by Anonymous Coward on 2018年03月06日 11時37分 (#3371924)

    Comodoだってこんな業者と取引したくないだろうに何をしたいのかと。

    • by Anonymous Coward

      PrivdogのComodoになにをいまさら

    • by Anonymous Coward

      Comodo にも近づかないほうがいいと教えてくれる

  • 結局の所さ…… (スコア:0, フレームのもと)

    by Anonymous Coward on 2018年03月06日 11時39分 (#3371926)

    先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。

    自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。
    事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。
    そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。

    ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。

    • by Anonymous Coward

      2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ

      • by Anonymous Coward

        時期の問題を言うなら、シマンテックの元となった証明機関は、WebTrustが発行される前からやってる会社なんで、延々と糞対応して問題が噴出しているという点ではGPKIなんて足下にも及ばない歴史があるかと。

        Mozillaは当時認証し許可については組織内で検証が済んでるんだろうかね。本当ならそいつらが承認した奴を全部洗い流して無効化するぐらいはやらなきゃならないけど、いずれも問題が発覚してから対処しているように見える。
        組織の中で何らかの落とし前は付けてるんだろうか。

        • by Anonymous Coward

          そもそものBRがどんどん厳しくなっているので
          ついていけない証明機関は退場してもらうしか無いね

          問題が起きたら対処するのは普通でしょ?
          DigiNotarもWoSignも問題起きてMozilla,Google,MSの順に対処したじゃない?
          過去の分も含めて精査しているところがあるような書きっぷりだけど、ソースあります?

  • by Anonymous Coward on 2018年03月06日 11時42分 (#3371928)

    失効を前提とすれば秘密鍵を送りつけるのは問題なさそう。証明書の再販ってどうやってノータッチでやるんだろう。

    • by Anonymous Coward

      どうやってノータッチでやるんだろう。

      おまわりさんこいつで(オイマテ

    • by Anonymous Coward

      BR違反を認識しても失効させない認証局もあるらしいけどね。ここにはそれを擁護する人間も住み着いてる。

    • by Anonymous Coward

      いやいや秘密鍵を認証局が持ってた時点で論外。今回は盗んだ秘密鍵を送ったのと同等で大問題だよ。
      「鍵を買った客が送り付けをやって失効を依頼するのが問題ない」という主張なら、まあ理解はできるがね。

  • by Anonymous Coward on 2018年03月06日 11時57分 (#3371939)

    この所業でまだここを使おうとする所なんて無いでしょうよ。

    • by Anonymous Coward

      安けりゃいいんだよ

      • by Anonymous Coward

        これが正解だと思う。
        Let's Encryptが始まって各社採算性が悪化し、貧すれば鈍するでご覧の有様でしょ。

        Let's Encryptで各社の単純な証明書はほとんどタダみたいな値段になった。
        なんとかLet's Encryptが対応してないワイルドカード証明書なんかで稼いでいたが、そっちも遅延してるけど始まるだろうし、じり貧間違いなし。
        より高度な証明をする証明書はある種の箔付けみたいなところがあるから、弱小の所はキツい。

        今後も似たような問題はどんどん出てくると思う。
        いっそのこと末端に至るまで厳重な監査を義務づける事で、もう成り立たないのが分かってる会社を一掃して再編促した方がいいんじゃないか。

        • by Anonymous Coward

          Let's Encryptより安くは出来ないから、より簡単! とかやってたのかな。

          秘密鍵を作ってリクエストを送って、なんてとても難しい手続きは不要、
          こちらで秘密鍵まで用意するのでそれをダウンロードしてサーバに置くだけ簡単! みたいな。

          セキュリティ無視で簡単側に振るのが商売になるなら、もう一歩進められないかな。

          クライアント→[https]→事業者→[http]→サーバ

          と、こんな感じで、「設定不要で既存のサーバにTLS接続を提供します! URLを登録して料金を払うだけ」を歌うとか。
          でも、DNSの設定変更も必要でシームレスには無理か。

  • by Anonymous Coward on 2018年03月06日 13時44分 (#3372011)

    面倒なCSRの作成は必要ありません。以下のフォームに記入して頂くだけで、秘密鍵も公開鍵もすべて作成してさしあげます。
    っていうサービス、どこもやってない?

    • by Anonymous Coward on 2018年03月06日 14時01分 (#3372029)

      The Register の記事によると,
      なぜ認証局側がユーザの秘密鍵を持っていたのかという点について,
      オンライン秘密鍵ジェネレータサービスで生成したものを保存して
      いたのではないかという推測がある。

      親コメント
  • by Anonymous Coward on 2018年03月06日 13時50分 (#3372017)

    秘密鍵を他人に知られてる時点で終わってるだろ。
    悪いのがSymantecなのかそれを買ったDigiCertなのか知らんけど。

    • by jzkey (47353) on 2018年03月06日 21時08分 (#3372310)

      Trusticoは昔Symantecの代理店をやってた。
      そのころTrusticoは、鍵生成サービスかなんかを提供していて、顧客に証明書を発行する傍ら、その秘密鍵を保持していたっぽい。
      Symantecが事業をDigicertに移管したんだが、TrusticoはDigicertとは関係をもたず、Comodoの代理店をやるようになった。

      Trustico:昔Symantecから認証された俺の顧客の証明書5万件ほど、秘密鍵漏れてるから取り消せ→Digicert
      Digicert:証拠見せろ
      Trustico:ほらよ(二万件の秘密鍵)
      (BER 規則4.9.1.1の3:CAは秘密鍵が漏れたと認識したとき、その証明書を24h以内に取り消さないといけない)
      Digicert:取り消したけど、こういう行為ってどうなん。皆どうしてる?→mozilla.dev.security.policy

      なので、どう考えてもTrusticoが頭おかしい、としかいいようがない。

      親コメント
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...