Trustico Vorfall
Trustico: 17.000 kompromittierte Private Keys werden immer noch genutzt
Venafi kommentiert den Trustico Vorfall
Kunden, die die Services des Zertifikate-Resellers Trustico nutzen, mussten letzte Woche lernen, dass der Anbieter die für sie erstellten Private Keys aufbewahrt hatte. Trustico verkauft Zertifikate von Symantec und Comodo. Bei beiden Zertifizierungsstellen kam es im letzten Jahr zu Änderungen in der Geschäftspraxis. Symantec verkaufte seine Geschäftseinheit an DigiCert und Comodo an die Beteiligungsgesellschaft Francisco Partners, die wiederum Mehrheitseigner der Firma NSO sind, einem Anbieter von Staatstrojanern. In einer E-Mail an die Firma DigiCert, die nun für die Symantec-Zertifikate zuständig ist, wurden von Trustico 23.000 Private Keys verschickt als Antwort auf die Anfrage von DigiCert, dass Trustico doch bitte 50.000 Zertifikate zurückziehen sollte.
Nutzer von Trustico-Zertifikaten müssen nun leider davon ausgehen, dass wenn sie eines dieser 23.000 Security Zertifikate nutzen, dieses kompromittiert ist. Doch bislang hat so gut wie niemand auf die Nachricht reagiert und noch immer sind zahlreiche kompromittierte Zertifikate im Umlauf und werden genutzt. Daten aus der Plattform Venafi TrustNet lassen den Schluss zu, dass lediglich 6.000 Private Keys dieser Zertifikate ausgetauscht wurden und noch immer 17.000 kompromittierte Private Keys genutzt werden.
Leider ist diese Antwort auf so viele Sicherheitslücken kein Zufall. Eine große Anzahl von Unternehmen hat noch nicht verstanden, welche enormen Sicherheitsrisiken mit einem Fehler wie diesem verbunden sind. Ähnlich verhielten sich viele Unternehmen bei dem Vorfall mit SHA-1 Zertifikaten. Es sind noch immer viel zu viele dieser nicht mehr sicheren und von den größten und wichtigsten Browser-Anbietern nicht mehr als vertrauenswürdig eingestuften Zertifikate im täglichen Gebrauch. Und auch wenn die Browser-Anbieter mit entsprechenden Warnhinweisen darauf aufmerksam machen und ein Kollisionsangriff möglich ist, tut sich zu wenig, um hier Abhilfe zu schaffen.
Doch auch Unternehmen und Organisationen, die sich der Sache annehmen, haben zumeist nicht die richtigen Tools und Lösungen im Einsatz, um kompromittierte Schlüssel und Zertifikate schnell und umfassend austauschen zu können. Ohne den Überblick über sämtliche im Unternehmen eingesetzte Zertifikate und Schlüssel, ist es fast unmöglich diese schnell zu wiederrufen und zu ersetzen. Darüber hinaus werden sie auch nicht in der Lage sein, alle veröffentlichten Schlüssel und Zertifikate zu finden.
An dem Vorfall bei Trustico ist vor allem problematisch, dass der Reseller die generierten Private Keys bei sich aufbewahrt hat. Jedes Unternehmen und jede Organisation, die darauf angewiesen ist, dass ein Reseller diese Schlüssel selbst erstellt, sollte darauf pochen, dass die Schlüssel ausgehändigt und danach gelöscht werden, damit sichergestellt werden kann, dass nur der Nutzer die Private Keys hält. Generell wäre es immer besser die Schlüssel selbst zu generieren, um einen Vorfall wie bei Trustico von vornherein zu verhindern.