猪队友:超过2.3万张正常加密数字证书被批量撤销

虽然在俗话中说商场如战争但在商业战争里面完全不顾客户利益而做出不当行为的公司只能用猪队友来称呼。

在数字安全领域目前就发生这种完全不顾客户利益的商业战争,这场战争本质还是赛门铁克数字证书的后续

在这场战争中交战双方分别是收购赛门铁克数字证书业务的DigiCert以及原赛门铁克的证书代理商 Trustico。

莫名其妙撤销2.3万张正常证书:

这些证书全部由原赛门铁克代理商中级证书颁发机构Trustico 签发,而现在该代理商已宣布代理科莫多证书。

Trustico 认为既然此前赛门铁克签发的证书存在问题就应吊销,而现在既然要吊销自然要找DigiCert来处理。

于是该公司就联系DigiCert要求将共计2.3万份证书吊销,但后者则要求Trustico提供证书编号以及私钥信息。

然后Turstico还真就直接把2.3万份证书的私钥给发出去了,但私钥泄露对于数字证书而言就是毁灭性的灾难。

双方互相泼水无视用户:

DigiCert在收到私钥后认为既然私钥已经泄露那么按照规定就应该如实将所有已经泄露私钥的证书进行吊销。

于是在这场交战中这 2.3 万名用户成为炮灰,当用户访问他们的网站时则会提示证书吊销无法继续进行加载。

Trustico 将用户私钥发送出去本身就违反行业规定,而DigiCert要求Trustico 提供私钥同样不符合吊销规定。

同时DigiCert还在初次报告该问题时隐瞒该公司要求Turstico 提供私钥的事实,所以泼脏水看来是没有成功。

当然风波过后不论是科莫多还是Trustico或者DigiCert都会继续卖证书,而最后的受害者也只有这2.3万用户。

本文来源 ITHOME.TW,由 山外的鸭子哥 整理编辑,其版权均为 ITHOME.TW 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论