Отзыв 50 тысяч сертификатов DigiCert
Расследование вскрыло чудовищное пренебрежение правилами безопасности:
— реселлер (в нарушение правил) делал копии приватных ключей сертификатов. По сути, скомпрометировав сертификаты самостоятельно;
— пользователи об этом ничего не знали;
— веб-сервис для выдачи сертификатов использовал скрипты, принадлежащие сторонним компаниям, в том числе — рекламным сервисам;
— официальный сайт Trustico содержал уязвимость, допускающую выполнение на сервере произвольного кода с правами root (исследователь, обнаруживший проблему, утверждает, что нашёл необходимую информацию в открытых источниках);
— вместо признания проблем Trustico пыталась отрицать даже само обладание приватными ключами.
Вероятно, этот инцидент окажет заметное влияние на отрасль. Очевидно, что необходим пересмотр принципов взаимодействия удостоверяющих центров с реселлерами. К тому же, стоит задуматься об ужесточении требований, предъявлямых к реселлерам. «Продавец безопасности», у которого на сайте есть поле ввода, позволяющее ввести произвольные shell-команды, исполняемые на сервере с правами суперпользователя — это нонсенс.
