1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

Trustico gehackt?

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Trustico gehackt?

    Autor: logged_in 01.03.18 - 13:28

    Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu haben.

    Aber es ist doch Trustico's Business-Model, auch manche private Schlüssel aufzubewahren.

    Also muss es doch einen Grund geben, warum Trustico diese Zertifikate annulieren lassen will. Wohl weil sie erfahren haben, dass ihre IT, und damit auch der Speicher wo die Schlüssel sicher aufbewahrt werden, gehackt wurde.

    Wieso sollte Trustico denen die Schlüssel als Beweis für die Kompromittierung schicken, wenn die die Schlüssel zuvor auch immer hatten, und das nicht als riskant einstuften.

    Definitiv ein Fehler von Trustico, unabhängig von der Symantec/Chrome-Geschichte.


    Trustico Webseite Zitat:

    Symantec® CA, misstraute von Google®
    Lass dich nicht erwischen Sie heraus! Jede Website, die ein SSL Zertifikat ausgestellt von Symantec® verwendet möglicherweise gewarnt, dass ihre Verbindung nicht privat ist und jemand versuchen könnte, ihre Daten zu stehlen.



    2 mal bearbeitet, zuletzt am 01.03.18 13:36 durch logged_in.

  2. Re: Trustico gehackt?

    Autor: Anonymer Nutzer 01.03.18 - 14:00

    naja, eventuell wollen sie nicht weiter die hand dafür in feuer legen, dass private keys länger bei ihnen sicher sind?

  3. Re: Trustico gehackt?

    Autor: phade 01.03.18 - 14:23

    So wirds wohl sein.

    Und DigiCert hat korrekt gehandelt. Die haben den Beleg bekommen, dass die privaten Schlüssel woanders als nur beim Kunden sind und dementsprechend die Zertifikate gesperrt.

    Nur: wenn das ein Geschäftsmodell von Trustico ist, dann sollte das doch schon länger auch DigiCert bekannt sein oder nicht ? Dann müssten die jetzt doch alle Zertifikate von Trustico sperren, weil zu vermuten ist, dass Trustico die Schlüssel aller je bei Ihnen ausgestellten Zertifikate hat.

  4. Re: Trustico gehackt?

    Autor: pommesmatte 02.03.18 - 07:45

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu
    > DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert
    > will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu
    > haben.

    Nein, das Ganze ist viel verrückter.
    Trustico will, dass alle ihre Kunden von alten Symantec Zertifikaten (jetzt Digicert) zu Comodo wechseln.
    Um das zu erzwingen wollten sie bei Digicert die Zertifikate sperren lassen.
    Digicert sagt nun, sie sperren nicht einfach Zertifikate, sondern nur wenn der private Schlüssel kompromittiert wurde.
    Also kompromittiert Trustico die 23.000 Schlüssel einfach selbst, indem sie die Digicert zusenden.
    Jetzt muss Digicert die sperren.

  5. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:50

    https://www.golem.de/news/zertifikate-trustico-verwundbar-fuer-root-code-injection-1803-133089.html

    Also doch gehackt.

  6. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:52

    Es ist ja kein verbotenes Geschäftsmodell. Den Regeln entspricht aber, dass Private Keys nicht per Email verschickt werden.

  7. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:57

    Daran dachte ich auch, aber die können ja nicht einfach so ihre Kunden vergraulen. Als Typisch kapitalistisches Unternehmen könnte man sogar so weit gehen, und den Kunden sagen: Ihr Zertifikat wird bald nicht mehr funktionieren, weil Sie mit Symantec auf's falsche Pferd gesetzt haben. Wir bieten Ihnen eins von Comodo für 50% des Preises an.

    Aber all die Certs zu invalidieren, nur um Symantec zu sagen: "Hey ihr Arschlöcher, mit euch wollen wir nichts mehr zu tun haben, weil ihr Taugenichtse seid, wir fackeln sogar die Server unserer Kunden ab, damit ihr wisst, wie wenig wir noch mit euch zu tun haben wollen" macht einfach keinen Sinn; da schießt man sich in's eigene Bein.

  8. Re: Trustico gehackt.

    Autor: pommesmatte 02.03.18 - 08:57

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > www.golem.de
    >
    > Also doch gehackt.

    Nö, das war erstens später. Und zweitens haben Angriffe auf den Webserver eines Key-Resellers eher wenig mit den privaten Schlüsseln der Kunden zu tun.

  9. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:59

    Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt.

    Als Service, weil manche wohl keine CSR erstellen können.



    2 mal bearbeitet, zuletzt am 02.03.18 09:01 durch logged_in.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universität Passau, Passau
  2. Komm.ONE Anstalt des öffentlichen Rechts, verschiedene Standorte
  3. AKKA, Ingolstadt
  4. IDS Imaging Development Systems GmbH, Obersulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39,90€ (Vergleichspreis 52,70€)
  2. 124,99€
  3. mit täglich wechselnden Angeboten
  4. (u. a. Forza Horizon 4 (Xbox One / Windows 10) für 28,49€ und Total War - Three Kingdoms für 22...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kryptographie: Die europäische Geheimdienst-Allianz Maximator
Kryptographie
Die europäische Geheimdienst-Allianz Maximator

Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Security Bundestagshacker kopierten Mails aus Merkels Büro
  2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
  3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac


    Unix: Ein Betriebssystem in 8 KByte
    Unix
    Ein Betriebssystem in 8 KByte

    Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
    Von Martin Wolf


      1. Herbert Diess: VWs E-Autos bringen pro Stück bis zu 5.000 Euro Verlust
        Herbert Diess
        VWs E-Autos bringen pro Stück bis zu 5.000 Euro Verlust

        Volkswagen verkauft den E-Golf und den E-Up als Elektroautos, doch das bringt pro Fahrzeug Verluste ein, ließ VW-Chef Herbert Diess intern verlauten.

      2. Zukunft in Serien: Realistischer, als uns lieb sein kann
        Zukunft in Serien
        Realistischer, als uns lieb sein kann

        Ältere Science-Fiction-Produktionen haben oft eher unrealistische Szenarien entworfen. Die guten neueren, wie Black Mirror, Years and Years und Upload nehmen hingegen Technik aus dem Jetzt und denken sie weiter.

      3. Jens Spahn: Bislang 300 Infektionsmeldungen über Corona-Warn-App
        Jens Spahn
        Bislang 300 Infektionsmeldungen über Corona-Warn-App

        Die Corona-Warn-App ist bislang über 14 Millionen Mal heruntergeladen worden, ungefähr 300 Warnmeldungen über mögliche Infektionen wurden ausgegeben.


      1. 08:27

      2. 08:01

      3. 14:17

      4. 13:59

      5. 13:20

      6. 12:43

      7. 11:50

      8. 14:26