Chiavi crittografiche inviate via e-mail, eliminati 23 mila certificati HTTPS

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...tps_74528.html

Ben 23 mila chiavi crittografiche di altrettanti certificati TSL sono state inviate dal CEO di Trustico ad un partner, rendendole automaticamente compromesse

Click sul link per visualizzare la notizia.

[marcram]

Email o non email, a me pare che tutto il discorso si basi sul fatto che il venditore possiede copia delle chiavi dei clienti.
A questo punto dovremmo leggere sui siti "certificato da ABC e/o modificato da ABC"...

[mar81]

Ci vorrebbe una bella blockchain per creare un sistema trustless.

[mar81]

L'errore è sempre umano...

[Noir79]

Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!

[Wikkle]

Quote:

Originariamente inviato da Noir79

Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!

ma lol

[zappy]

Quote:

Originariamente inviato da mar81

L'errore è sempre umano...

no.
altrove si legge che trustico (venditore) voleva far revocare le chiavi a digicert (generatore), ma visto che digicert correttamente ha risposto che solo i clienti di trustico potevano far revocare i certificati, a meno che non fossero compromessi, allora per forzare la mano trustico ha mandato in chiaro le chiavi private x email (APPOSTA, non per errore, non per caso) in modo che queste dovessero per forza essere considerate compromesse da digicert.

insomma, mi pare trustico sia il top della scorrettezza nei confronti dei propri clienti. fossero idioti sarebbe una cosa, ma qui hanno compromesso APPOSTA (mandandole in giro per mail) le chiavi dei loro clienti per loro motivi commerciali.

invece non ho ben capito la frase "decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi."...
ma mi sembra anche più preoccupante...

[mar81]

Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta

[Davis5]

di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)

[Wikkle]

Quote:

Originariamente inviato da Davis5

di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)

*

Hai totalmente ragione, felice che qualcuno l'abbia capito!!

L'unica cosa in cui spero è che ci sia una class action e una forte multa per questa cosa...
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...

Ovviamente questa "imposizione" per esser gentile nel definirla... crea problemi e menate a internet provider di piccole dimensioni, web designer, web master ecc...

Quindi le zuppe per i lavoratori web e tempo perso che dovranno usare verso i loro clienti per spiegare bene le cose... ma i guadagni per google?

Secondo voi è corretto?

[!fazz]

Quote:

Originariamente inviato da mar81

Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta

non proprio occhio che la blockchain non è la panacea di tutti i mali (se no sarei andato a brevettare una blockain ai nanotubi di carbonio al grafene )

il problema non è l'immutabilità del dato il problema li è il servizio della CA (ovvero la società che associa la tua identità reale alla tua coppia di chiavi asimettriche)

certo puoi sempre inviare via raccomandata una copia della tua chiave e della tua carta di identità a 3.8 miliardi di persone (50%+1 della popolazione mondiale) così potresti usare una CA basata su blockchain al costo di una finanziaria di uno stato medio piccolo

[WarSide]

Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generare un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.

[marcram]

Quote:

Originariamente inviato da WarSide

Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generate un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.

Ecco, era proprio quello che stavo pensando.
Non so niente di certificati SSL, ma se si tratta di un sistema a chiavi asimmetriche, la chiave privata non si crea appunto in locale?
Che bisogno c'è di comprare una chiave privata da altri? Devono solo certificare la tua chiave/firma pubblica!

[andbad]

Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.

[WarSide]

Quote:

Originariamente inviato da andbad

Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.

Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key

[danieleg.dg]

Quote:

Originariamente inviato da Wikkle

Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...

È già successo che navigando attraverso il wifi di un aereo veniva iniettata pubblicità nelle pagine in http.

Quote:

Originariamente inviato da andbad

Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Sì, ok, ne hanno fornito uno nuovo gratis, ma dubito che la fiducia torni così facilmente.

[andbad]

Quote:

Originariamente inviato da WarSide

Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key

Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e

[WarSide]

Quote:

Originariamente inviato da andbad

Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e

Sono da denuncia. Altro che omaggio.