digicert global root ca

If your browser loads this page without warning, it trusts the DigiCert Global Root CA.

For more information about this root, visit the DigiCert Global Root CA details page.

For information about DigiCert’s other roots, please visit the DigiCert Root Certificate Information page.

Для личного домена сети доставки содержимого Azure (CDN) в конечной точке Azure CDN уровня «Стандартный» от Майкрософт, когда вы включите функцию HTTPS, используя свой собственный сертификат, нужно создать SSL-сертификат с помощью разрешенного центра сертификации (ЦС). For an Azure Content Delivery Network (CDN) custom domain on an Azure CDN Standard from Microsoft endpoint, when you enable the HTTPS feature by using your own certificate, you must use an allowed certificate authority (CA) to create your SSL certificate. В противном случае при использовании недопустимого ЦС или самозаверяющего сертификата ваш запрос будет отклонен. Otherwise, if you use a non-allowed CA or a self-signed certificate, your request will be rejected.

Возможность использования собственного сертификата для включения пользовательского HTTPS доступна только с профилем Azure CDN уровня «Стандартный» от Майкрософт. The option of using your own certificate to enable custom HTTPS is available only with Azure CDN Standard from Microsoft profiles.

При создании собственного сертификата разрешены следующие ЦС: The following CAs are allowed when you create your own certificate:

1 марта клиенты реселлера SSL-сертификатов Trustico узнали, что 23 тыс. сертификатов будут аннулированы в течение суток. Отзыв инициировал центр сертификации DigiCert — это было сделано потому, что в распоряжении Trustico оказались закрытые SSL-ключи клиентов.

Подробнее о том, что случилось, расскажем далее.

digicert global root ca
/ Pexels / Skitterphoto / CC

Действующие лица

Trustico продает сертификаты Symantec, GeoTrust, Thawte и RapidSSL. Ранее всеми этими сертификатами управлял Symantec, однако с 1 декабря 2017 года за работу с ними отвечает CA DigiCert. В прошлом году Google запустили процедуру прекращения доверия к сертификатам, выданным с использованием старой инфраструктуры Symantec, из-за того, что в компании не смогли обеспечить должный контроль за соблюдением стандартов обслуживания.

В результате Symantec решили продать сертификационный бизнес компании DigiCert, чтобы «восстановить доверие» и соблюсти требования Google, — об этом мы рассказывали ранее.

Ситуация с Trustico

28 февраля Trustico потребовал у DigiCert аннулировать сертификаты Symantec из-за их компрометации. Когда в DigiCert попросили предоставить подробности, представители Trustico просто выслали им по электронной почте 23 тыс. закрытых ключей сертификатов клиентов.

В результате у DigiCert не осталось выбора — центр запустил процесс отзыва сертификатов, отправив уведомление каждому владельцу сертификата, секретные ключи которых фигурировали в письме Trustico. При этом в DigiCert отмечают, что процедура аннулирования сертификатов никак не связана с прекращением доверия Google и Mozilla, которая должна начаться 15 марта.

Откуда взялись SSL-ключи

Начало истории было положено еще в первой половине февраля. Тогда Trustico попросили DigiCert отозвать сразу 50 тыс. Сертификатов, якобы они были скомпрометированы. Центр сертификации не стал этого делать — у реселлера не было подтверждающих аргументов.

Немного позже на сайте Trustico появилась информация об отказе от SSL-сертификатов Symantec, GeoTrust, Thawte и RapidSSL. Тогда глава Trustico Зейн Лукас (Zane Lucas) и отправил вице-президенту DigiCert Джереми Роули (Jeremy Rowley) копии секретных ключей по электронной почте в качестве подтверждения компрометации. По словам Роули, сперва в Trustico не раскрыли, откуда взялись эти секретные ключи. Однако позже Зейн сделал заявление, из которого стало понятно, что ключи держатся у Trustico в «холодном хранилище».

Читайте также:  dell vostro 5459 материнская плата

В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей. При этом пользователи Trustico не знали о том, что их ключи доступны кому-то еще, в том числе генеральному директору компании.

digicert global root ca
/ Flickr / Jeremy Segrott / CC

Реакция сообщества и последствия

Подобное поведение Trustico породило мнение, что в компании специально скомпрометировали ключи, чтобы запустить процедуру отзыва SSL/TLS-сертификатов Symantec и начать заниматься другими продуктами. Подтверждает это и тот факт, что до инцидента Trustico начали продавать сертификаты конкурента DigiCert — Comodo.

Также беспокойство сообщества вызвал сам факт пересылки ключей по электронной почте. Так как неизвестно, был ли канал, по которым передавались сообщения, защищенным. Поэтому не удивительно, что на инфраструктуру реселлера обратили внимание специалисты по информационной безопасности.

И проблемы в работе сервиса были найдены. Один из пользователей Twitter опубликовал информацию о критической уязвимости Trustico. Правда, это привело к тому, что сайт реселлера на какое-то время был выведен из строя.

35.190.140.214 — [01/Mar/2018:09:52:14 -0500] «GET /u

На сайте компании имелся инструмент, который позволял владельцам сайтов проверять корректность установки сертификатов. И он содержал ошибку. Благодаря ей в форму проверки можно было внедрить свои команды и выполнить на серверах Trustico вредоносный код с root-правами. При этом, как утверждает сам исследователь, проблема была известна довольно давно, так как всю информацию он нашел в открытых источниках в интернете.

Сейчас Trustico грозят проблемы юридического характера. Пользователи Twitter отмечают, что Trustico обслуживает ряд крупных клиентов, в том числе одно из основных кредитных бюро в США Equifax. А репутационные проблемы из-за всех вопросов к этой ситуации и неоднозначных действий руководства могут стоить реселлеру крупных заказов.

Оцените статью
Все о Windows 10
Добавить комментарий