Connexions chiffrées : DigiCert révoque 23 000 certificats, après la « bourde » d’un revendeur
C'est de sa faute !
Le 02 mars 2018 à 14h52
6 min
Internet
Internet
Les certificats assurant la fiabilité de 23 000 sites ont récemment été révoqués par DigiCert. Selon Trustico, qui a vendu ces clés, il s'agit d'anticiper le futur refus de ces certificats par Google Chrome. Le revendeur a envoyé les clés privées de ces certificats à l'autorité, pour prouver leur authenticité. Le début d'un important débat.
Le transport des données sur le web devient de plus en plus sûr, avec la généralisation du chiffrement des connexions, via le protocole TLS. Son symbole : le cadenas vert et le « HTTPS » dans les navigateurs. Pour assurer cette sécurité, un site doit disposer d'un certificat, émis par une autorité de certification, que chaque navigateur choisit de reconnaître comme fiable. En cas de manquements répétés, par exemple des vérifications insuffisantes, une autorité perd la confiance des navigateurs, donc son business.
Trustico, revendeur de certificats pour sites web, est en pleine discorde avec DigiCert, une des principales autorités de certification du web. Habituellement, Trustico vend à ses clients des certificats émis par DigiCert et ses filiales. Ce mois-ci, la société a réclamé la révocation de 50 000 d'entre eux.
« Nous avons été en contact avec DigiCert à plusieurs reprises cette semaine, pour les informer que nous ne les autorisons plus à détenir nos certificats SSL actifs sur leur plateforme » affirme Trustico dans un communiqué du 28 février.
La société justifie cette demande par le refus à venir par Google Chrome des certificats de Symantec, dont DigiCert a racheté l'autorité de certification en août dernier. Symantec a multiplié les mauvaises pratiques pendant des années, amenant Google à refuser progressivement les anciens certificats dans Chrome. La reprise par DigiCert doit donc signer un assainissement de l'autorité.
C'est là que l'affaire se complique : selon DigiCert, ces problèmes sont un prétexte pour couvrir une bourde de Trustico lui-même.
23 000 clés privées envoyées par e-mail
Après une demande de la liste des certificats concernés par DigiCert, Trustico a envoyé 23 000 clés privées par e-mail à l'autorité. Les clés privées sont un élément central de la sécurité des connexions HTTPS. Les faire transiter par e-mail revient concrètement à compromettre les connexions aux sites concernés.
Cette action a causé un débat public sur un groupe de discussion de Mozilla, le 28 février. « Le 2 février, nous avons reçu une requête de Trustico demandant une révocation en masse de tous les certificats commandés par des clients via Trustico » écrit ainsi Jeremy Rowley, vice-président exécutif de DigiCert.
Selon lui, Trustico a voulu déclarer ces clés comme compromises, donc déclencher leur révocation. Le revendeur n'est pas passé par le bon canal, déclare DigiCert, qui a demandé que chaque client confirme la compromission de ses clés privées, ou que Trustico fournisse la preuve qu'elle détient ces clés privées.
« Le directeur général de Trustico nous indiquait que Trustico détenait les clés privées de ces certificats, et nous a envoyé par e-mail environ 20 000 d'entre elles. Quand il nous a envoyé ces clés, son action ne nous a pas laissé d'autre choix que d'agir en accord avec les exigences fixées par le CA/Browser Forum. Elles nous commandent de révoquer un certificat compromis sous 24 heures » a ensuite écrit l'entreprise dans son communiqué.
Le communiqué de DigiCert avait donc un autre but que signaler « l'erreur » de Trustico. La société a surtout voulu se défendre. « Dans sa communication, Trustico a suggéré que cette révocation est due à la future suppression de la confiance aux certificats Symantec par Google Chrome. C'est incorrect. Nous voulons clarifier que ces certificats ont dû être révoqués parce que Trustico nous a envoyé les clés privées » écrit DigiCert.
Les clés révoquées, une faille trouvée sur le site de Trustico
La bataille se joue là. Trustico cite un e-mail de DigiCert lui réclamant la liste des certificats à supprimer, avec les clés privées. DigiCert répond qu'il s'agit pour eux d'une mauvaise pratique. Dans tous les cas, Trustico a obtenu ce qu'il voulait : l'envoi des clés des clients a forcé l'autorité à rendre les certificats invalides. Peu importe le responsable, le résultat est là.
L'éditeur de solutions de sécurité Sophos s'est aussi étonné de cette action, via son blog Naked Security. « Ce que nous ne pouvons pas vraiment comprendre, c'est comment Trustico a obtenu autant de clés privées et pourquoi elles ont été envoyées par e-mail » explique la société. Trustico répond qu'il détient ces clés sur un « stockage froid » (donc déconnecté d'Internet) pour les révocations.
Aussi, Trustico a voulu maîtriser sa communication aux clients, en les informant lui-même des révocations par DigiCert. Or, ce dernier a directement contacté les titulaires des certificats concernés, en provoquant l'étonnement de certains d'entre eux. « Malheureusement, les choses ne se sont pas très bien passées et nous sommes extrêmement désolés de toute la confusion et le dérangement causés. Nous pensions agir en accord avec les contrats et informations fournis par DigiCert et Symantec » réagit Trustico, en fin de communiqué.
Le cœur de l'affaire a eu lieu mercredi 28 février. Jeudi 1er mars, le site de Trustico est passé un moment hors ligne, après qu'un chercheur en sécurité a révélé une faille « critique » dans une page de validation de l'installation des certificats. La vulnérabilité aurait permis d'exécuter des commandes en tant qu'administrateur (root) sur les serveurs du revendeur. Le site est de retour en ligne ce vendredi.
Dans tous les cas, « une telle chamaillerie publique, où les clés privées des clients sont devenues des jetons dans un marchandage commercial, n'aide personne. Maintenant, il sera encore plus compliqué pour les tenants du HTTP (ou les « dissidents » du HTTPS, si vous préférez) de basculer leurs sites en HTTPS » tance Sophos, clairement déçu de la tournure de l'affaire.
Connexions chiffrées : DigiCert révoque 23 000 certificats, après la « bourde » d’un revendeur
-
23 000 clés privées envoyées par e-mail
-
Les clés révoquées, une faille trouvée sur le site de Trustico
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/03/2018 à 15h02
en gros si la “bourde” de trustico a eu lieu après sa première demande, pour moi ce n’en est pas une. c’était voulu pour leur forcer la main. donc leur première explication, à défaut d’une autre, tient la route.
Le 02/03/2018 à 15h42
un chercheur en sécurité a révélé une faille « critique » dans une page de validation de l’installation des certificats. La vulnérabilité aurait permis d’exécuter des commandes en tant qu’administrateur (root) sur les serveurs du revendeur
" />
sympa la chamaillerie devant tout le monde. Popcorn Time !
je plains les pauvres webmaster qui ont l’un des certif sur le site, ils doivent tout refaire " />
Le 02/03/2018 à 17h11
ça va finir par des révoc brutales dans les browsers, et des CA qui vont couler d’un coup …
un gros ménage en perspective
en attendant, vivement les wildcard chez Let’s Encrypt " />
Le 02/03/2018 à 17h19
Par email ?! Incompétents…
Le 02/03/2018 à 18h14
“Quand c’est trop, c’est trustico” " /> " />
Le 02/03/2018 à 19h00
Il faut tout de même savoir qu’une AC n’a en aucun cas besoin de la clé privée d’un client pour lui délivrer son certificat. Ce qui laisse supposer que Trustico devait proposer un service de génération de biclé et de CSR, probablement bien pratique pour certains mais au détriment de la sécurité… car il ne faut jamais, au grand jamais, confier sa clé privée à qui que ce soit, on voit là le résultat.
Le bon conseil est donc de fuir toute société qui propose un service de génération de biclé (souvent présenté comme un générateur de CSR) en ligne (openssl le fait très bien) car il est impossible de savoir ce qui peut bien être conservé… même si après on vous livre le certificat et la clé privée dans un PKCS#12 avec un mot de passe long comme le bras qui fait très sécurisé. Si on vous fourni votre clé privée, elle n’est déjà plus privée !
Après il serait peut-être intéressant de détailler un peu cette histoire de refus des certificats Symantec par Chrome car apparemment Chrome 66 et Firefox 60 vont bloquer l’accès à des milliers de sites s’ils ne remplacent pas leurs certificats avant le 17 avril, c’est explique ici :https://ssl-tls.info/symantec_thawte_geotrust_rapidssl.html
Le 02/03/2018 à 20h04
Même dans cette hypothèse, ça démontre deux choses:
1-ils gardent les clés privées
2- ils sont disposés à les diffuser si ça les arrange
Pour des gens sont le métier est de vendre de la confiance, ça fait tâche.
Accessoirement, de quel droit ils révoquent les certificats des autres???
Le 03/03/2018 à 10h21
De quelles clés privées parle-t-on ?
(1) De celles de DigiCert qui sont utilisées pour que l’AC génèrent ses certificats ou (2) de celles de Trustico qui sont associées à ses clés publiques envoyées à DigiCert pour obtenir des certificats ?
Le 03/03/2018 à 22h31
C’est Trustico qui est un revendeur de certifications.
Celui qui fournit au final le certificat c’est DigiCert.
Le problème c’est que Trustico à visiblement fait n’importe quoi et à stocké les clés privés qu’il ne devrait jamais avoir même un seul instant et les a en plus envoyé par e-mail.
Étant donné que les clés ont été diffusés le fournisseur DigiCert à révoqué les certificats de Trustico.
Les autres certificats DigiCert restent ok car c’est spécifique à Trustico.
Le 05/03/2018 à 09h21
Après lecture d’un forum anglophone, je concluerais volontiers que les 2 ont fait n’importe quoi,
et s’en accusent mutuellement.
Le 05/03/2018 à 09h32
Et donc ça serait quoi le n’importe quoi de DigiCert ?
Pour l’instant je ne vois qu’un dossier à charge contre Trustico.
Le 05/03/2018 à 10h25
Je suis totalement hors de mon domaine (et de ma langue maternelle), mais j’ai retenu au moins ça:
Comme je ne suis pas partie prenante dans l’histoire, je peux aussi indiquer que j’ai retenu qu’un commentaire parlait carrément de DoNotTrustIco
Le 05/03/2018 à 19h29