Efter att Trustico har begärt spärr av ett stort antal certifikat utfärdade av Symantec har det uppdagats en del oklarheter kring hur de har hanterat sina kunders privata nycklar. Dessutom har det visat sig att deras webservrar där beställningsportalerna ligger har varit sårbara för enkla attacker som givit root-access till servern.
Bakgrunden till Trusticos masspärr är att Google har beslutat att inte längre lite på certifikat utfärdade av Symantec och deras olika varumärken, till exempel Symantec, Thawte, VeriSign, Equifax, GeoTrust och RapidSSL.
En av sakerna som uppdagats är att Trustico har sparat på kundernas privata nycklar. Detta har varit möjligt då de har erbjudit kunden att generera hela nyckelparet, inklusive den privata nyckeln, på sin server. Detta strider mot god PKI-sed och bör inte förekomma alls för SSL/TLS certifikat. I de ytterst få fall man inte kan låta det system som ska ha certifikatet generera nyckelparet bör man lösa det på andra sätt än att låta utfärdarens webserver generera nyckelparet. Nyckelgenerering ska ske under kontrollerade former i den egna miljön.
Mot bakgrund av detta rekommenderar Certezza att de som har utfärdat certifikat via Trustico för säkerhets skull ersätter dessa med certifikat utfärdade av en annan leverantör.
Angående masspärren: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/wxX4Yv0E3Mk
Trusticos officiella svar: https://www.trustico.com/news/2018/symantec-revocation/certificate-replacement.php
Angående Googles beslut att inte lita på Symantec-certifikat: https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
Kontakta Certezza Certifikatfunktion vid frågor,
E-post: cert@certezza.net
Telefon: 08-791 92 00
Martin Juhlin
