Репост из: 网络安全事件SecEvents
【安全事件】
23000名用户SSL证书失效
截止到2018年3月1日上午,超过23000名用户将因英国 Trustico 与美国 DigiCert 两家公司间的纠纷而遭遇 SSL 证书撤销。此次事件可能在未来几个月当中对整个CA(证书颁发机构)行业产生巨大影响。
DigiCert 公司指出,由于Trustico 公司发生安全事故,他们不得不撤销全部已被颁发给 Trustico 公司的证书——其中也包括已经被后者出售给客户的证书。Trustico 公司总经理 Zane Lucas 则否认该公司曾遭遇任何安全事故。
2018年2月27日,DigiCert 公司收到来自 Trustico 公司的电子邮件,其中包含超过23000条客户 SSL 证书的私钥。 根据 CA 行业规则,颁发机构可以在安全事件发生后的24小时内撤销受损证书,于是 DigiCert 开始着手对邮件中包含的23000份受损证书进行批量撤销。
2018年3月1日,DigiCert 公司向超过23000家 Trustico 客户发出邮件通知,表示其证书将被撤销。目前尚不清楚 DigiCert 方面的此次邮件通报行为是否得到授权。
一部分安全专家公开指责 Trustico 公司涉嫌对客户的 SSL 证书私钥进行非法记录。从原则角度来讲,证书颁发机构与负责销售SSL证书的厂商不应持有这些私钥的副本。
DigiCert 方面通报了此次23000份私钥遭到泄露的事实,并承诺将后续公布相应私钥,从而提醒各浏览器开发商将其添加至黑名单当中。
23000名用户SSL证书失效
截止到2018年3月1日上午,超过23000名用户将因英国 Trustico 与美国 DigiCert 两家公司间的纠纷而遭遇 SSL 证书撤销。此次事件可能在未来几个月当中对整个CA(证书颁发机构)行业产生巨大影响。
DigiCert 公司指出,由于Trustico 公司发生安全事故,他们不得不撤销全部已被颁发给 Trustico 公司的证书——其中也包括已经被后者出售给客户的证书。Trustico 公司总经理 Zane Lucas 则否认该公司曾遭遇任何安全事故。
2018年2月27日,DigiCert 公司收到来自 Trustico 公司的电子邮件,其中包含超过23000条客户 SSL 证书的私钥。 根据 CA 行业规则,颁发机构可以在安全事件发生后的24小时内撤销受损证书,于是 DigiCert 开始着手对邮件中包含的23000份受损证书进行批量撤销。
2018年3月1日,DigiCert 公司向超过23000家 Trustico 客户发出邮件通知,表示其证书将被撤销。目前尚不清楚 DigiCert 方面的此次邮件通报行为是否得到授权。
一部分安全专家公开指责 Trustico 公司涉嫌对客户的 SSL 证书私钥进行非法记录。从原则角度来讲,证书颁发机构与负责销售SSL证书的厂商不应持有这些私钥的副本。
DigiCert 方面通报了此次23000份私钥遭到泄露的事实,并承诺将后续公布相应私钥,从而提醒各浏览器开发商将其添加至黑名单当中。