23000 usuarios pierden sus certificados SSL debido a un leak de las claves privadas

Más de 23000 usuarios tendrán sus certificados SSL revocados hoy, 1 de marzo, debido a un incidente entre Trustico y DigiCert que es probable que tenga un gran impacto en la industria CA (Autoridad certificadora) en su totalidad en los próximos meses.

Toda la historia comenzó el día de hoy cuando DigiCert, uno de los mayores emisores de certificados en Internet, envió correos electrónicos a más de 23,000 clientes que obtuvieron sus certificados SSL a través de un distribuidor en el Reino Unido llamado Trustico.

DigiCert dijo que debido a un incidente de seguridad, tuvieron que revocar todos los certificados emitidos a Trustico, que Trustico luego vendió a sus propios clientes. El gerente general de Trustico, Zane Lucas, por otro lado, negó que su compañía sufriera algún incidente de seguridad.

En el punto de la cosa, todo se vuelve demasiado complicado, por lo que estableceremos una línea de tiempo de eventos, basada en declaraciones hechas por ambas compañías, al momento de escribir.

Cronología de los eventos

1. El 2 de febrero, Trustico envió un correo electrónico a DigiCert, solicitando a DigiCert que revocara todos los certificados, alrededor de 50000, administrados por DigiCert.

2. Trustico abandona su contrato para revender certificados de Symantec (ahora parte de DigiCert) y comienza una asociación con Comodo.

3. DigiCert niega la solicitud de revocación masiva de 50000 certificados. DigiCert dijo que las reglas de la industria no están claras si un "revendedor de certificados" puede revocar los certificados SSL de sus clientes, o solo el cliente final puede hacerlo.

4. Trustico dice que DigiCert decidió rescindir su contrato con Trustico el 25 de febrero, luego de que Trustico dijera que intentaría "buscar una opinión legal" sobre el asunto.

5. Con respecto a los certificados reales, DigiCert dice que le dijo a Trustico que podrían revocar los certificados en masa si hubiera evidencia de un incidente de seguridad durante el cual la clave privada de los clientes se viera comprometida.

6. DigiCert afirma que el 27 de febrero recibió un correo electrónico de Trustico que contiene más de 23000 claves privadas para certificados SSL de clientes de Trustico.

7. De acuerdo con las reglas de la industria de California que ordenan que los certificados comprometidos se revoquen en 24 horas después de un incidente de seguridad, DigiCert inició el proceso de revocación de certificados para los 23000 certificados comprometidos que recibió por correo electrónico.

8. Anteriormente, DigiCert envió correos electrónicos a más de 23000 clientes de Trustico indicando que sus certificados serían revocados. No está claro si DigiCert pudo enviar correos electrónicos masivos a los clientes de Trustico.

9. Varios expertos en seguridad han acusado públicamente a Trustico de supuestamente registrar copias de claves privadas de los certificado SSL. Las autoridades de certificación (las empresas que emiten certificados SSL) no deben tener copias de estas claves privadas.

When you signed up with them they integrated Client Side Requests into their website - which means they had the private key (which should never leave the client side). They also retained it and emailed to a 3rd party, a HUGE security hole. pic.twitter.com/iFg6MdcFbK

— Kevin Beaumont (@GossiTheDog) 28 de febrero de 2018

Incluso el COO de DigiCert -Flavio Martins- mostró su sorpresa de que Trustico enviara un correo electrónico que contenía las claves privadas de más de 23,000 de sus clientes.

@rinsure we can't speculate on the reason, but we know that @trustico sent us a document with all of the keys, so revocation is required. Not sure why/how they have customer private keys...

— Flavio Martins (@flavmartins) 28 de febrero de 2018

La teoría general entre los profesionales es que Trustico había automatizado el proceso de CSR (solicitud de firma de certificado), un paso en el proceso de emisión de certificados y generaba certificados SSL, pero también conservaba una copia de la clave privada.

10. DigiCert notifica a Mozilla el compromiso de 23000 claves privadas, prometiendo publicar las claves privadas en una fecha posterior, por lo que los creadores de navegadores no pueden confiar en ellas.

With the private key, the CA can absolutely impersonate you. I mean, any CA compromise is bad, but Trustico's behavior makes this an absolute worst case. It's clear that they don't understand how CA's really work either. Ugh. I'm not a customer and don't recommend. 2/2

— Jake Williams (@MalwareJake) 28 de febrero de 2018

11. Trustico responde al informe de DigiCert. Trustico dice que no hubo ningún incidente de seguridad.

"En ningún momento se han visto comprometidas las claves privadas, ni le hemos informado alguna vez que las claves privadas se han visto comprometidas", dijo Lucas.

Trustico no explicó el origen de las 23000 claves privadas.

12. Trustico dice que la razón por la que quería revocar los 50000 certificados DigiCert se debe a Symantec. DigiCert compró el negocio de emisión de SSL de Symantec. Los 50000 certificados se habían emitido en la red más antigua de Symatec, y no directamente por DigiCert. Google anunció el año pasado que desconfiaría de todos los certificados SSL de Symantec debido a repetidos incidentes de seguridad. Ahora, Trustico dice que perdió la confianza tanto en Symantec (e indirectamente en DigiCert) para administrar su infraestructura correctamente.

"Durante nuestras muchas discusiones durante la semana pasada, le explicamos que creemos que Symantec ha operado nuestra cuenta de una manera en la que se ha visto comprometida", dijo Lucas. "Creemos que los pedidos realizados a través de nuestra cuenta de Symantec estaban en riesgo y estaban mal administrados. Hemos estado cuestionando a Symantec sin respuesta en cuanto a los artículos durante aproximadamente un año. Symantec simplemente ignoró nuestras preocupaciones y pareció enterrarlos en el siguiente problema que surgió "

"En buena conciencia, decidimos que no era ideal tener ningún certificado SSL activo en los sistemas Symantec, ni ninguno que no cumpliera con nuestros estrictos requisitos de seguridad", agregó Lucas. "El mismo equipo de administración responsable de esa situación está debidamente empleado en DigiCert y está administrando completamente nuestra cuenta, lo que causa una grave preocupación de nuestra parte, ya que parece ser un negocio con un nuevo nombre. También fuimos víctimas por Symantec mis-issued Certificados SSL de nuestra propiedad, posteriormente se nos pidió que mantuviéramos el asunto en secreto, bajo un aviso de confidencialidad".

13. Lucas dice que el sistema que Trustico implementó para que los propietarios de sitios web puedan obtener un certificado de reemplazo en lugar de los certificados de Symantec/ DigiCert que serán revocados hoy. Esto significa que más de 23000 usuarios/compañías tendrán que lidiar mañana con sitios y aplicaciones que encuentren errores de seguridad HTTPS.

Conclusiones

Mientras tanto, a pesar de la solicitud de Trustico, DigiCert no ha revocado los certificados de los otros 27,000 usuarios para los cuales Trustico quería certificados revocados, pero para los cuales no presentó evidencia de un compromiso. Un representante de Mozilla estuvo de acuerdo con la decisión de DigiCert de dejar estos certificados como "válidos".

Es probable que todo el incidente termine con sanciones para una compañía u otra. De cualquier forma, se votarán nuevas reglas para tratar el estado de los revendedores de certificados y los derechos que tienen sobre los certificados de los clientes finales.

Además, en base a los comentarios de varios investigadores de seguridad, puede ser necesaria una investigación para determinar si un revendedor SSL registró o no las claves privadas SSL de sus clientes.

De cualquier manera, las palabras "difamatorio" y "opinión legal" fueron lanzadas, lo que significa que es probable que esta cuestión no desaparezca después de unos días, y las dos compañías se reúnan nuevamente, pero con abogados presentes.

Terminemos este artículo con GlobalSign divertido de tratar de aprovechar esta debacle con fines de marketing: