Connexion
Abonnez-vous

Connexions chiffrées : DigiCert révoque 23 000 certificats, après la « bourde » d’un revendeur

C'est de sa faute !

Connexions chiffrées : DigiCert révoque 23 000 certificats, après la « bourde » d'un revendeur

Le 02 mars 2018 à 14h52

Les certificats assurant la fiabilité de 23 000 sites ont récemment été révoqués par DigiCert. Selon Trustico, qui a vendu ces clés, il s'agit d'anticiper le futur refus de ces certificats par Google Chrome. Le revendeur a envoyé les clés privées de ces certificats à l'autorité, pour prouver leur authenticité. Le début d'un important débat.

Le transport des données sur le web devient de plus en plus sûr, avec la généralisation du chiffrement des connexions, via le protocole TLS. Son symbole : le cadenas vert et le « HTTPS » dans les navigateurs. Pour assurer cette sécurité, un site doit disposer d'un certificat, émis par une autorité de certification, que chaque navigateur choisit de reconnaître comme fiable. En cas de manquements répétés, par exemple des vérifications insuffisantes, une autorité perd la confiance des navigateurs, donc son business.

Trustico, revendeur de certificats pour sites web, est en pleine discorde avec DigiCert, une des principales autorités de certification du web. Habituellement, Trustico vend à ses clients des certificats émis par DigiCert et ses filiales. Ce mois-ci, la société a réclamé la révocation de 50 000 d'entre eux.

« Nous avons été en contact avec DigiCert à plusieurs reprises cette semaine, pour les informer que nous ne les autorisons plus à détenir nos certificats SSL actifs sur leur plateforme » affirme Trustico dans un communiqué du 28 février.

La société justifie cette demande par le refus à venir par Google Chrome des certificats de Symantec, dont DigiCert a racheté l'autorité de certification en août dernier. Symantec a multiplié les mauvaises pratiques pendant des années, amenant Google à refuser progressivement les anciens certificats dans Chrome. La reprise par DigiCert doit donc signer un assainissement de l'autorité.

C'est là que l'affaire se complique : selon DigiCert, ces problèmes sont un prétexte pour couvrir une bourde de Trustico lui-même.

23 000 clés privées envoyées par e-mail

Après une demande de la liste des certificats concernés par DigiCert, Trustico a envoyé 23 000 clés privées par e-mail à l'autorité. Les clés privées sont un élément central de la sécurité des connexions HTTPS. Les faire transiter par e-mail revient concrètement à compromettre les connexions aux sites concernés.

Cette action a causé un débat public sur un groupe de discussion de Mozilla, le 28 février. « Le 2 février, nous avons reçu une requête de Trustico demandant une révocation en masse de tous les certificats commandés par des clients via Trustico » écrit ainsi Jeremy Rowley, vice-président exécutif de DigiCert.

Selon lui, Trustico a voulu déclarer ces clés comme compromises, donc déclencher leur révocation. Le revendeur n'est pas passé par le bon canal, déclare DigiCert, qui a demandé que chaque client confirme la compromission de ses clés privées, ou que Trustico fournisse la preuve qu'elle détient ces clés privées.

« Le directeur général de Trustico nous indiquait que Trustico détenait les clés privées de ces certificats, et nous a envoyé par e-mail environ 20 000 d'entre elles. Quand il nous a envoyé ces clés, son action ne nous a pas laissé d'autre choix que d'agir en accord avec les exigences fixées par le CA/Browser Forum. Elles nous commandent de révoquer un certificat compromis sous 24 heures » a ensuite écrit l'entreprise dans son communiqué.

Le communiqué de DigiCert avait donc un autre but que signaler « l'erreur » de Trustico. La société a surtout voulu se défendre. « Dans sa communication, Trustico a suggéré que cette révocation est due à la future suppression de la confiance aux certificats Symantec par Google Chrome. C'est incorrect. Nous voulons clarifier que ces certificats ont dû être révoqués parce que Trustico nous a envoyé les clés privées » écrit DigiCert.

Les clés révoquées, une faille trouvée sur le site de Trustico 

La bataille se joue là. Trustico cite un e-mail de DigiCert lui réclamant la liste des certificats à supprimer, avec les clés privées. DigiCert répond qu'il s'agit pour eux d'une mauvaise pratique. Dans tous les cas, Trustico a obtenu ce qu'il voulait : l'envoi des clés des clients a forcé l'autorité à rendre les certificats invalides. Peu importe le responsable, le résultat est là.

L'éditeur de solutions de sécurité Sophos s'est aussi étonné de cette action, via son blog Naked Security. « Ce que nous ne pouvons pas vraiment comprendre, c'est comment Trustico a obtenu autant de clés privées et pourquoi elles ont été envoyées par e-mail » explique la société. Trustico répond qu'il détient ces clés sur un « stockage froid » (donc déconnecté d'Internet) pour les révocations.

Aussi, Trustico a voulu maîtriser sa communication aux clients, en les informant lui-même des révocations par DigiCert. Or, ce dernier a directement contacté les titulaires des certificats concernés, en provoquant l'étonnement de certains d'entre eux. « Malheureusement, les choses ne se sont pas très bien passées et nous sommes extrêmement désolés de toute la confusion et le dérangement causés. Nous pensions agir en accord avec les contrats et informations fournis par DigiCert et Symantec » réagit Trustico, en fin de communiqué.

Le cœur de l'affaire a eu lieu mercredi 28 février. Jeudi 1er mars, le site de Trustico est passé un moment hors ligne, après qu'un chercheur en sécurité a révélé une faille « critique » dans une page de validation de l'installation des certificats. La vulnérabilité aurait permis d'exécuter des commandes en tant qu'administrateur (root) sur les serveurs du revendeur. Le site est de retour en ligne ce vendredi.

Dans tous les cas, « une telle chamaillerie publique, où les clés privées des clients sont devenues des jetons dans un marchandage commercial, n'aide personne. Maintenant, il sera encore plus compliqué pour les tenants du HTTP (ou les « dissidents » du HTTPS, si vous préférez) de basculer leurs sites en HTTPS » tance Sophos, clairement déçu de la tournure de l'affaire.

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

en gros si la “bourde” de trustico a eu lieu après sa première demande, pour moi ce n’en est pas une. c’était voulu pour leur forcer la main. donc leur première explication, à défaut d’une autre, tient la route.

votre avatar



un chercheur en sécurité a révélé une faille « critique » dans une page de validation de l’installation des certificats. La vulnérabilité aurait permis d’exécuter des commandes en tant qu’administrateur (root) sur les serveurs du revendeur



<img data-src=" />



sympa la chamaillerie devant tout le monde. Popcorn Time !



je plains les pauvres webmaster qui ont l’un des certif sur le site, ils doivent tout refaire <img data-src=" />

votre avatar

ça va finir par des révoc brutales dans les browsers, et des CA qui vont couler d’un coup …

un gros ménage en perspective



en attendant, vivement les wildcard chez Let’s Encrypt&nbsp;<img data-src=" />

votre avatar

Par email ?! Incompétents…

votre avatar

“Quand c’est trop, c’est trustico” <img data-src=" /> <img data-src=" />

votre avatar

Il faut tout de même savoir qu’une AC n’a en aucun cas besoin de la clé privée d’un client pour lui délivrer son certificat. Ce qui laisse supposer que Trustico devait proposer un service de génération de biclé et de CSR, probablement bien pratique pour certains mais au détriment de la sécurité… car il ne faut jamais, au grand jamais, confier sa clé privée à qui que ce soit, on voit là le résultat.

Le bon conseil est donc de fuir toute société qui propose un service de génération de biclé (souvent présenté comme un générateur de CSR) en ligne (openssl le fait très bien) car il est impossible de savoir ce qui peut bien être conservé… même si après on vous livre le certificat et la clé privée dans un PKCS#12 avec un mot de passe long comme le bras qui fait très sécurisé. Si on vous fourni votre clé privée, elle n’est déjà plus privée !



&nbsp;Après il serait peut-être intéressant de détailler un peu cette histoire de refus des certificats Symantec par Chrome car apparemment Chrome 66 et Firefox 60 vont bloquer l’accès à des milliers de sites s’ils ne remplacent pas leurs certificats avant le 17 avril, c’est explique ici :https://ssl-tls.info/symantec_thawte_geotrust_rapidssl.html

votre avatar

Même dans cette hypothèse, ça démontre deux choses:

1-ils gardent les clés privées

2- ils sont disposés à les diffuser si ça les arrange



Pour des gens sont le métier est de vendre de la confiance, ça fait tâche.



Accessoirement, de quel droit ils révoquent les certificats des autres???

votre avatar

De quelles clés privées parle-t-on ?

(1) De celles de DigiCert qui sont utilisées pour que l’AC génèrent ses certificats ou (2) de celles de Trustico qui sont associées à ses clés publiques envoyées à DigiCert pour obtenir des certificats ?

votre avatar

C’est Trustico qui est un revendeur de certifications.

Celui qui fournit au final le certificat c’est DigiCert.



Le problème c’est que Trustico à visiblement fait n’importe quoi et à stocké les clés privés qu’il ne devrait jamais avoir même un seul instant et les a en plus envoyé par e-mail.



Étant donné que les clés ont été diffusés le fournisseur DigiCert à révoqué les certificats de Trustico.



Les autres certificats DigiCert restent ok car c’est spécifique à Trustico.

votre avatar

Après lecture d’un forum anglophone, je concluerais volontiers que les 2 ont fait n’importe quoi,

et s’en accusent mutuellement.

votre avatar

Et donc ça serait quoi le n’importe quoi de DigiCert ?

Pour l’instant je ne vois qu’un dossier à charge contre Trustico.

votre avatar

Je suis totalement hors de mon domaine (et de ma langue maternelle), mais j’ai retenu au moins ça:





  • Sur le coup, ce qui est concerné c’est la partie certification de Symantec rachetée par DigiCert il y a moins d’un an, et dont la réputation est fortement entachée d’erreurs graves



  • Trustico reproche à DigiCert d’avoir plus ou moins tenté de lui piquer des clients en communiquant directement avec eux.



    Comme je ne suis pas partie prenante dans l’histoire, je peux aussi indiquer que j’ai retenu qu’un commentaire parlait carrément de DoNotTrustIco

votre avatar





  • Digicert n’est pas concerné par les errances de Symantec, car il a uniquement racheté l’activité commerciale (les marques et les clients), et Google a validé l’opération.

  • Trustico voulait faire révoquer tous les certificats Symantec de ses clients pour les basculer vers un concurrent de Digicert, alors que ce dernier avait déjà commencé à expliquer aux clients comment remplacer leur certificat obsolète par un qui serait accepté par Chrome. Il n’est donc pas parfaitement clair de qui vole les clients de qui.

  • In fine Trustico a exposé les clefs privées de ses clients par inadvertance pour arriver à ses fins, ce qui au passage démontre qu’il est un acteur peu fiable.



Connexions chiffrées : DigiCert révoque 23 000 certificats, après la « bourde » d’un revendeur

  • 23 000 clés privées envoyées par e-mail

  • Les clés révoquées, une faille trouvée sur le site de Trustico 

Fermer