Chiavi crittografiche inviate via e-mail, eliminati 23 mila certificati HTTPS

Chiavi crittografiche inviate via e-mail, eliminati 23 mila certificati HTTPS

Ben 23 mila chiavi crittografiche di altrettanti certificati TSL sono state inviate dal CEO di Trustico ad un partner, rendendole automaticamente compromesse

di pubblicata il , alle 08:31 nel canale Sicurezza
 

Non è stato un bell'inizio di marzo per circa 23.000 proprietari di certificati HTTPS, dopo che il CEO di Trustico ha inviato le chiavi private dei propri clienti ad un partner. La società si è così trovata costretta a revocarle, visto che ormai erano diventate "compromesse". La storia ha avuto inizio nella prima parte della settimana ma è scoppiata solo da alcuni giorni quando molti dei clienti si sono ritrovati all'interno di un intreccio ingarbugliato, pieni di domande e in cerca di risposte.

Tutto ha avuto inizio quando DigiCert, una società che si occupa del rilascio di certificati HTTPS, ha inviato e-mail ai clienti di Trustico, che i certificati li vende, per avvisarli che i certificati acquistati erano stati riportati come compromessi. DigiCert ha sottolineato che tutti i certificati non sicuri verranno revocati, costringendo però i siti ad abbandonare la protezione HTTPS fino a quando non otterranno un nuovo certificato sicuro e funzionante.

Se non bastasse, alcune ore dopo la divulgazione della notizia il sito ufficiale di Trustico è andato down perché una vulnerabilità critica presente nel codice era stata divulgata su Twitter. Alcune settimane prima, inoltre, Trustico aveva dichiarato che avrebbe smesso di vendere certificati rilasciati da Symantec, l'anno scorso acquisita da DigiCert, in merito alla decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi.

Trustico ha inoltre richiesto a DigiCert di revocare circa 50 mila certificati che aveva già rilasciato, probabilmente perché, visto quanto successo, i browser li avrebbero segnalati come non sicuri. Alcuni esperti di sicurezza sostengono però che la scelta di Trustico sia relativa alla volontà di spostare i suoi certificati a favore dell'altro partner, abbandonando Symantec per Comodo. Infine, DigiCert si è rifiutata di effettuare l'operazione sulla base delle stesse norme che regolano l'industria, per cui solo il cliente può decidere se revocare il certificato se non sussistono prove di eventuali compromissioni delle chiavi crittografiche.

Di tutta la vicenda sono sconcertanti alcuni aspetti: in primo luogo è assurdo il fatto che siano state compromesse delle chiavi private dei clienti, dal momento che queste stesse dovrebbero essere in possesso solo ed esclusivamente degli stessi clienti. Le compagnie non dovrebbero averne traccia sui loro sistemi, ma a quanto pare Trustico le aveva a disposizione in unità di "cold storage", quindi unità di archiviazione senza accesso ad internet. Gli utenti che si affidano al servizio possono generare un Certificate Signing Request e una Private Key, e quest'ultima viene salvata per necessità di revoca del certificato.

È chiaro però che se la chiave viene rubata, qualsiasi aggressore può impersonare un sito, inoculare dati sui server utilizzati e anche rubare quelli che sono presenti. Secondo alcuni esperti di web encryption citati dalla stampa internazionale, inoltre, il salvataggio delle chiavi private sembra essere fatto senza la consapevolezza dell'utente, che non esprime il consenso esplicito. Al momento in cui scriviamo comunque la revoca è stata fatta solo per i primi 23 mila certificati, lasciando attivi i restanti 27 mila certificati segnalati da Trustico. È comunque probabile che sentiremo nuovamente parlare dell'argomento.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
marcram03 Marzo 2018, 09:26 #1
Email o non email, a me pare che tutto il discorso si basi sul fatto che il venditore possiede copia delle chiavi dei clienti.
A questo punto dovremmo leggere sui siti "certificato da ABC e/o modificato da ABC"...
mar8103 Marzo 2018, 15:38 #2
Ci vorrebbe una bella blockchain per creare un sistema trustless.
mar8103 Marzo 2018, 15:42 #3
L'errore è sempre umano...
Noir7903 Marzo 2018, 22:03 #4
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
Wikkle04 Marzo 2018, 00:09 #5
Originariamente inviato da: Noir79
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!


ma lol
zappy04 Marzo 2018, 09:58 #6
Originariamente inviato da: mar81
L'errore è sempre umano...


no.
altrove si legge che trustico (venditore) voleva far revocare le chiavi a digicert (generatore), ma visto che digicert correttamente ha risposto che solo i clienti di trustico potevano far revocare i certificati, a meno che non fossero compromessi, allora per forzare la mano trustico ha mandato in chiaro le chiavi private x email (APPOSTA, non per errore, non per caso) in modo che queste dovessero per forza essere considerate compromesse da digicert.

insomma, mi pare trustico sia il top della scorrettezza nei confronti dei propri clienti. fossero idioti sarebbe una cosa, ma qui hanno compromesso APPOSTA (mandandole in giro per mail) le chiavi dei loro clienti per loro motivi commerciali.

invece non ho ben capito la frase "[I]decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi.[/I]"...
ma mi sembra anche più preoccupante...
mar8104 Marzo 2018, 12:52 #7
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
Davis505 Marzo 2018, 11:49 #8
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)
Wikkle05 Marzo 2018, 12:13 #9
Originariamente inviato da: Davis5
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)


[SIZE="7"]*[/SIZE]

Hai totalmente ragione, felice che qualcuno l'abbia capito!!

L'unica cosa in cui spero è che ci sia una class action e una forte multa per questa cosa...
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...

Ovviamente questa "imposizione" per esser gentile nel definirla... crea problemi e menate a internet provider di piccole dimensioni, web designer, web master ecc...

Quindi le zuppe per i lavoratori web e tempo perso che dovranno usare verso i loro clienti per spiegare bene le cose... ma i guadagni per google?

Secondo voi è corretto?
!fazz05 Marzo 2018, 12:20 #10
Originariamente inviato da: mar81
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta


non proprio occhio che la blockchain non è la panacea di tutti i mali (se no sarei andato a brevettare una blockain ai nanotubi di carbonio al grafene )

il problema non è l'immutabilità del dato il problema li è il servizio della CA (ovvero la società che associa la tua identità reale alla tua coppia di chiavi asimettriche)

certo puoi sempre inviare via raccomandata una copia della tua chiave e della tua carta di identità a 3.8 miliardi di persone (50%+1 della popolazione mondiale) così potresti usare una CA basata su blockchain al costo di una finanziaria di uno stato medio piccolo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^