Revocan 23.000 certificados de autentificación porque un vendedor envió sus llaves por correo electrónico

Una serie de descuidos y confusiones en el mundo de los certificados de seguridad ha resultado en la revocación inmediata de 23.000 certificados SSL.

Más de 23.000 portadores de certificados de seguridad se enteraron de la situación mediante un correo electrónico de la compañía DigiCert, uno de los más grandes proveedores de certificados de autentificación. En el mensaje, la compañía avisaba que todos los certificados de seguridad que había emitido para el revendedor de certificados Trustico serían revocados en un lapso de 24 horas.

El mensaje atribuyó la medida a un incidente de seguridad que había puesto en riesgo la privacidad y seguridad de los certificados revendidos por Trustico. “Zane Lucas, de Trustico (…), denunció que la llave privada vinculada a su sitio web había sido comprometida. Por lo tanto, estamos obligados por el Foro de Autoridades de Certificación para Navegadores a revocar su certificado dentro de las próximas 24 horas”, decía el mensaje enviado por DigiCert. “No sabemos por qué Trustico hizo esta denuncia e impulsó la revocación de sus certificados, pero queríamos tener la cortesía de notificarle que su certificado sería revocado”.

El mensaje también explicaba brevemente lo que esta revocación implicaba: “Su certificado dejará de funcionar por completo. Si al momento se encuentra activo en el sitio, sus usuarios comenzarán a ver una advertencia de que el sitio es inseguro”, explicó DigiCert.

El mensaje generó confusión, no sólo por lo imprevisto del aviso y por el poco tiempo que daba a los administradores para lidiar con el problema, sino porque la notificación fue enviada por DigiCert en lugar de Trustico, la empresa de quien habían obtenido el certificado y quien según el mensaje era el responsable de la situación.

Zane Lucas, de Trustico, negó que su compañía hubiese sufrido ningún tipo de incidente de seguridad y dijo que las acciones de DigiCert eran “completamente difamatorias” y las llevaría a investigación con sus abogados. Según Lucas, la empresa pidió la revocación de los certificados porque Google Chrome pronto iba a comenzar a desconfiar de los certificados autentificados por la compañía de seguridad Symantec.

Sin embargo, una vez que los certificados habían sido revocados, DigiCert publicó muestras de las 23.000 llaves de los certificados revocados para evidenciar que sí había habido una filtración de seguridad que expuso esta información. “Cuando solicité pruebas de que se había comprometido la seguridad, recibí un archivo con 23.000 llaves privadas que indicaban a qué usuario de Trustico en particular pertenecían”, explicó Jeremy Rowley, vicepresidente de DigiCert.

Cuando se desenmarañó el asunto resultó que Trustico había enviado por correo 23.000 certificados privados a otra compañía. “Todo el modelo de certificados se basa en la idea de que hay un solo dueño de los certificados que tiene acceso a la llave privada: el cliente. Es por eso que Trustico no debería tener las llaves. Esto indica que la seguridad de los certificados ha estado expuesta por bastante tiempo, lo que anula su propósito”.

Fuentes
23,000 HTTPS certificates axed after CEO emails private keys • Ars Technica
Trustico revokes 23,000 SSL certificates due to compromise • Cyberscoop
23,000 Users Lose SSL Certificates in Trustico-DigiCert Spat • Bleeping Computer