圖片來源: 

DigiCert

這兩天憑證產業發生了一起羅生門事件,有高達2.3萬個SSL憑證於昨天(2/28)莫名被撤銷。

被撤銷的是由DigiCert所發行,並交由Trustico經銷的2.3萬個數位憑證。根據DigiCert的說法,該公司在2月9日接到Trustico的郵件,要求DigiCert撤銷所有經由Trustico代售的5萬個憑證,當DigiCert請Trustico提出說明時,Trustico在周二(2/27)直接寄來了2.3萬個憑證的私鑰。

一般而言,只有憑證所有人會握有憑證私鑰,不管是DigiCert或Trustico都不應持有憑證私鑰。DigiCert執行長Jeremy Rowley表示,根據憑證機構與瀏覽器論壇(CA/Browser Forum)的基本要求,一旦發現憑證外洩,他們就必須在24小時內移除這些遭到危害的憑證,因此他們別無選擇地在周三(2/28)撤銷這些憑證。

DigiCert也通知了憑證遭到撤銷的用戶,指出在憑證被撤銷之後,若有使用者造訪該站,那麼就會看到此一憑證不可靠的警告訊息。

引發這場風波的Trustico動機並不難理解,該公司所代理的其實是賽門鐵克(Symantec)所發行的數位憑證,當初賽門鐵克因誤發數萬個憑證而被瀏覽器業者調降安全評等,繼之在去年8月把數位憑證業務轉手賣給了DigiCert

身為Symantec憑證最大代理商之一的Trustico不免也受到牽連,除了在去年6月與另一憑證機構Comodo簽下合作協議之外,並宣布從今年2月9日起,不再提供Symantec品牌的各種憑證,涵蓋Symantec、GeoTrust、Thawte與RapidSSL。

依照Trustico的說法,該公司認為Symantec所發行的憑證有問題才要求DigiCert撤銷,而DigiCert卻希望Trustico提供憑證號碼與金鑰,才促使Trustico寄出了2.3萬個憑證私鑰。

Trustico表示,該公司允許用戶訂購憑證時產生「憑證簽章要求」(Certificate Signing Request)與金鑰,而這些金鑰則被存放於冷儲存(Cold Storage)中,以供撤銷憑證時所用,同時強調這些金鑰並未被危害。

這其實是場商業戰爭,儘管輿論似乎一面倒地偏向DigiCert,認為Trustico不應保留用戶的憑證金鑰,然而DigiCert的聲明稿中除了暗指Trustico的系統受到危害之外,亦隱暪了曾希望Trustico提供憑證序號與金鑰的要求,不論如何,突然被撤銷憑證的2.3萬個用戶才是最大的受害者。

熱門新聞

Advertisement