Trustico und DigiCert: Widerruf von 23.000 SSL-/TLS-Zertifikaten

23.000 über den Reseller Trustico verkaufte und aktive SSL-/TLS-Zertifikate von Symantec und weiteren Zertifizierungsstellen (CAs) müssen widerrufen werden. Darauf wiesen heise Security mehrere Leser hin, die entsprechende E-Mails erhalten haben.

Alles begann mit einer Mail von Trustico an DigiCert. DigiCert bietet Zertifikate von GeoTrust, RapidSSL, Symantec und Thawte an. Diese kann man beim Reseller Trustico erstehen. In der Mail wies Trustico DigiCert dazu an, 50.000 Zertifikate zu widerrufen. Konkrete Gründe dafür sollen nicht in der Nachricht gestanden haben.

DigiCert lehnte das Anliegen ab und wies darauf hin, dass das nur geschehen kann, wenn beispielsweise die privaten Schlüssel der Zertifikate kompromittiert wären. Als Antwort darauf soll Trustico die privaten Schlüssel von 23.000 Zertifikate unverschlüsselt per Mail an DigiCert geschickt haben – einige Schlüssel tauchen bereits an anderen Stellen im Internet auf.

Ein derartiger Umgang mit privaten Schlüsseln verstößt gegen die Anforderungsbasislinie des CA/Browser Forum. Dieser freiwillige Zusammenschluss von Zertifizierungsstellen (CAs) und Browser-Herstellern definiert Sicherheitsstandards für CAs und Webbrowser und ist somit ein zentrales Konsortium, wenn es um die Verschlüsselung im Internet geht.

Quelle: Trustico und DigiCert: Widerruf von 23.000 SSL-/TLS-Zertifikaten | heise Security