Tanúsítványbotrány: ilyet sem látott még a világ

Elképesztő felfordulást okozott a brit Trustico cég, amikor 23 ezer tanúsítvány visszavonását kényszerítette ki egészen elképesztő módon.
 

A digitális tanúsítványok piaca az elmúlt évben sok izgalommal szolgált. Az egyik legfontosabb történés azonban egyértelműen az volt, amikor a DigiCert vállalat bejelentette, hogy felvásárolja a Symantec több sebből vérző tanúsítvány üzletágát. December 1-jétől már a DigiCert üzemelteti a Symantec-féle SSL tanúsítványokat kiszolgáló infrastruktúrát, és felel az ezzel kapcsolatos információbiztonsági intézkedésekért.
 
A Symantec tanúsítványok egyik korábbi értékesítője, a brit Trustico azonban nem nyugodott meg a cégváltástól, ezért úgy határozott, hogy új partner után néz, és nem folytatja az együttműködést a DigiCerttel. A két vállalat azonban nagyon látványos módon búcsúzott el egymástól, aminek nemcsak ők, hanem az ügyfeleik is kárát látják.
 
Egy kis időutazás
 
Február 2-án a Trustico arra kérte a DigiCertet, hogy vonjon vissza 50 ezer digitális tanúsítványt. Azonban a DigiCert műszaki és jogi szakemberei úgy vélték, hogy egy viszonteladó nem kérheti a tanúsítványvisszavonást, mivel azt az ügyfeleknek maguknak kell kezdeményezniük. Ez alól csak az jelenthet kivételt, ha bebizonyosodik, hogy a tanúsítványok kompromittálódtak. Ezt a hozzáállást azonban a Trustico nem vette jó néven, és felmondta a szerződést. A DigiCert ezután is ragaszkodott azon bizonyítékok bemutatásához, amik tanúsítványokat veszélybe sodró eseményekre utalnak.
 
A Trustico aztán egész érdekes módon reagálta le a történteket. Úgy határozott, hogy az általa értékesített 23 ezer Symantec tanúsítványhoz tartozó privát kulcsokat nemes egyszerűséggel, e-mailben megküldi a DigiCertnek. Ezzel pedig megpecsételte az ügyfelei által használt tanúsítványok sorsát, mivel a DigiCertnek ezt követően nem volt más választása, mint elindítani a visszavonási folyamatot, és felvenni a szóban forgó tanúsítványokat a visszavonási listákra. Ezzel egy időben a vállalat értesítette egyebek mellett a Mozillát is a történtekről. Sőt a több mint 20 ezer ügyfélnek is kiküldte az értesítőket a visszavonásról, amit a Trustico igencsak sérelmezett.
 
Hogy gondolták?
 
A Trustico azzal magyarázta a fent ismertetett lépéseit, hogy csak jót akart az ügyfeleinek, mivel a Google már korábban jelezte, hogy a Symantec által kibocsátott tanúsítványokat hamarosan nem fogja elfogadni. A brit cég bizalma mind a Symantecben, mind a DigiCertben megingott, ezért úgy határozott, hogy az ügyfeleinek ingyenes áttérést biztosít Comodo alapú megoldásokra. Csakhogy ezt az átállást nagyon nem így kellett volna levezényelnie. Ezzel ugyanis 24 órát adott az ügyfeleinek arra, hogy új tanúsítványokat igényeljenek, illetve telepítsenek. Ha ez nem sikerül, akkor weboldalak, webes szolgáltatások válhatnak megbízhatatlanná a webböngészőkben. Emellett egyéb IT-rendszerekben, például egyes banki levelező szolgáltatásokban is fennakadások jelentkezhetnek.
 
A legnagyobb dilemma
 
A legfontosabb kérdés továbbra is nyitott, pedig nagyon fontos lenne az egész iparág szempontjából megnyugtató módon lezárni azt. Egyelőre nem lehet biztosan tudni, hogy a Trustico miért és hogyan volt birtokában a 23 ezer tanúsítvány privát kulcsának. Először sokan biztonsági incidensre gyanakodtak, azonban ezt a cég határozottan tagadta. A legfrissebb hírek szerint az történt, hogy a vállalat az automata rendszereken keresztül generált és kiállított tanúsítványok privát kulcsát egész egyszerűen naplózta, azaz lementette magának. Arra semmiféle bizonyíték nincs, hogy mindezzel visszaélt volna, de a lehetőség megvolt arra, hogy az érintett online szolgáltatásokat megszemélyesítse vagy akár belehallgasson titkosított kommunikációkba.
 
Ugyan semmi jel nem utal arra, hogy erre sor került, mégis sok szakember szerint már önmagában az a tény, hogy az ügyfelei hozzájárulása nélkül tárolta ezeket a kulcsokat, okot adhatott volna a visszavonásra. Ráadásul teljesen pongyola módon, szintén mindenfajta hozzájárulás nélkül továbbította ezeket az információkat.
 
Azt a DigiCert is elismerte, hogy vannak olyan szabályok, amik nem egyértelműek, ezért a közeljövőben vélhetőleg iparági egyeztetésekre fog sor kerülni a hitelesítésszolgáltatók berkein belül. Ez azonban nem vigasztalja azokat, akiknek a weboldala, webes szolgáltatása ezekben az órákban válik megbízhatatlanná a felhasználók böngészőiben.