Gå til innhold

Utstederne kranglet. 23 000 brukere mistet SLL-sertifikatene sine

Erlend Tangeraas Lygre

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
henrikwl

henrikwl

Skrevet
Skrevet

"Vi tar våre kunders sikkerhet på aller høyeste alvor, derfor er vi villige til å totalt pulverisere deres tillit til oss ved å avsløre at vi i hemmelighet beholder deres privatnøkler, og attpåtil sender dem over epost i klartekst".

 

Og slik annonserte Trustico sin utgang fra sikkerhetsbransjen.

  • Liker 3
Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

Huh? Det er da vel ingen som sender fra seg den private nøkkelen til noen sertifikat-utsteder? Du lager et nøkkelpar og genererer en CSR som inneholder den offentlige nøkkelen. Du sender CSR til utsteder som sanity-sjekker, legger på sine default-attributter, og signerer. Den private nøkkelen forlater helst ikke serveren du skal bruke den på i det hele tatt, og ihvertfall ikke organisasjonen som skal bruke den.

 

Se f.eks

https://www.buypass.no/ssl/resources/generate-csr

https://letsencrypt.org/docs/faq/#technical

osv.

 

Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her.

 

Da er det ikke i historien, men i Trusticos rutiner. 

Jeg siterer her fra Trusticos egen statement: 

 

 

Trustico® followed the requests of DigiCert by initially recovering Private Keys from cold storage and subsequently e-mailing the associated order number and Private Keys to DigiCert in a ZIP file.

 

Dette etter DigiCert vissnok skal ha etterspurt det. 

 

 

 

Further, Jeremy Rowley of DigiCert sent an e-mail to us requesting the following :

"Can you please send a listing of the certificate serial numbers along with their private keys? Once we get that list, we’ll confirm the private key and revoke the certs as requested. Thanks!"

Så jo, noen har tydeligvis gitt Trustico sine privatnøkler. 

  • Liker 1
Lenke til kommentar
Vegard Engen

Vegard Engen

Skrevet
Skrevet

"Vi tar våre kunders sikkerhet på aller høyeste alvor, derfor er vi villige til å totalt pulverisere deres tillit til oss ved å avsløre at vi i hemmelighet beholder deres privatnøkler, og attpåtil sender dem over epost i klartekst".

 

Og slik annonserte Trustico sin utgang fra sikkerhetsbransjen.

 

Når sant skal sies har vel også alle kundene her bevist sin inkompetanse.

 

Du *gir* ingen, nei heller ikke CAen din, privatnøkkelen.

Lenke til kommentar
henrikwl

henrikwl

Skrevet
Skrevet

Huh? Det er da vel ingen som sender fra seg den private nøkkelen til noen sertifikat-utsteder? Du lager et nøkkelpar og genererer en CSR som inneholder den offentlige nøkkelen. Du sender CSR til utsteder som sanity-sjekker, legger på sine default-attributter, og signerer. Den private nøkkelen forlater helst ikke serveren du skal bruke den på i det hele tatt, og ihvertfall ikke organisasjonen som skal bruke den.

 

Se f.eks

https://www.buypass.no/ssl/resources/generate-csr

https://letsencrypt.org/docs/faq/#technical

osv.

 

Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her.

De hadde en «forenklet tjeneste» der kunder slapp å tenke på ting som nøkler og CSR og sånne kompliserte, tekniske ting. De genererte nøkler og sertifikater, og kunden fikk en ferdig pakke med detaljerte instruksjoner for installering (eller til og med konsulenthjelp for installeringen).

 

Og, i fall kunden fikk et katastrofalt havari med datatap hadde selvsagt Trustico en backup av alt sånn at kunden slapp å tenke på noe. For bekvemmelighet, så klart.

 

Sikkerhet og brukervennlighet er stort sett alltid i motsatt ende av skalaen, og du vil ikke tro hvor langt over mot bekvemmelighetssiden av skalaen man kan tjene penger på å selge «sikkerhetsløsninger» til intetanende kunder.

  • Liker 2
Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet (endret)

 

 

SSL.300x169.png

Nå må tusenvis av irriterte IT-folk skaffe seg nye.

 

Utstederne kranglet.  23 000 brukere mistet SLL-sertifikatene sine

SLL????? Skal da være SSL.

Ble litt mange S-er og L-er for meg. Det sto SLL i tittelen i et minutt eller to etter publisering. Ble påpekt og rettet kjapt :)

 

Det står enda i din post her inne....

 

bRGN8FU.png

Endret av Slettet-t8fn5F
Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet (endret)

Jeg forstår ikke kommentaren til bildet, sikkert bare jeg som er dum. Men skulle det være farlig om det faktisk var et ekte public certifikat og noen fikk tak i det? Eller hva er det du mener, artikkelforfatter?

En bank må trekke tilbake flere kredittkort, da den personlige koden ble sendt på postkort til sine mottakere...

 

Forstår du den setningen og hvorfor de kredittkortene nå ikke er trygge?

Endret av Slettet-t8fn5F
  • Liker 1
Lenke til kommentar
Eplekatt

Eplekatt

Skrevet
Skrevet

Datasikkerhet 2018 :

 

Regel 101 : Ikke send bedrifts meldinger i klartekst.

 

Regel 102 : Ikke bruk browser mail klient.

 

Regel 103 : Bruk No-reply adresser til ALLE som ikke er internt.. får noen som ikke trenger det en VANLIG e-post, vell da er helgeland løst.. prepear for spam.

 

Regel 1 : Sunn fornuft er ikke nok, lær alle som skal jobbe mot eller med data hvordan de bruker datamaskinen på jobb.. selv selvopplærte eksperter kan somregel ikke mer en å navigere og finne ut hvordan de kommerforbi veisperringer og lager snarveier.. det er en grunn til at vi logger på vår egen bruker, nei det er ikke ok å bruke siv sin bare fordi du ikke vil logge ut... Nei du kan ikke lagre passordet, NEI du kan ikke bruke samme passordet alle stedene... NEEEI DU KAN IKKE GI PROGRAM X administrator tilgang... og nei du får ikke legge inn din egen browser fordi "den er bedre"...

 

Nei du skal ikke surfe i arbeidstia... osv osv osv.

 

Regel 324 : Ansett en som har tatt utdanning i IT... ellers er alle andre reglene bortkasta... Man kan ikke ta datasikkerhet på sparket å det varer evig med sikkerhet.

 

Regel : 1 Blokker facebook, google, youtube, reddit, digi, aftenposten.. disse er de verste tracker websidene der det er lett og samle opp info.

Lenke til kommentar
Oleloke

Oleloke

Skrevet
Skrevet

 

Jeg forstår ikke kommentaren til bildet, sikkert bare jeg som er dum. Men skulle det være farlig om det faktisk var et ekte public certifikat og noen fikk tak i det? Eller hva er det du mener, artikkelforfatter?

En bank må trekke tilbake flere kredittkort, da den personlige koden ble sendt på postkort til sine mottakere...

 

Forstår du den setningen og hvorfor de kredittkortene nå ikke er trygge?

Dette gjaldt bildeteksten som nå er endret ser jeg. Så nå er mitt forrige innlegg irrelevant.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...