Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

Trustico gehackt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Trustico gehackt?

    Autor: logged_in 01.03.18 - 13:28

    Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu haben.

    Aber es ist doch Trustico's Business-Model, auch manche private Schlüssel aufzubewahren.

    Also muss es doch einen Grund geben, warum Trustico diese Zertifikate annulieren lassen will. Wohl weil sie erfahren haben, dass ihre IT, und damit auch der Speicher wo die Schlüssel sicher aufbewahrt werden, gehackt wurde.

    Wieso sollte Trustico denen die Schlüssel als Beweis für die Kompromittierung schicken, wenn die die Schlüssel zuvor auch immer hatten, und das nicht als riskant einstuften.

    Definitiv ein Fehler von Trustico, unabhängig von der Symantec/Chrome-Geschichte.


    Trustico Webseite Zitat:

    Symantec® CA, misstraute von Google®
    Lass dich nicht erwischen Sie heraus! Jede Website, die ein SSL Zertifikat ausgestellt von Symantec® verwendet möglicherweise gewarnt, dass ihre Verbindung nicht privat ist und jemand versuchen könnte, ihre Daten zu stehlen.



    2 mal bearbeitet, zuletzt am 01.03.18 13:36 durch logged_in.

  2. Re: Trustico gehackt?

    Autor: Anonymer Nutzer 01.03.18 - 14:00

    naja, eventuell wollen sie nicht weiter die hand dafür in feuer legen, dass private keys länger bei ihnen sicher sind?

  3. Re: Trustico gehackt?

    Autor: phade 01.03.18 - 14:23

    So wirds wohl sein.

    Und DigiCert hat korrekt gehandelt. Die haben den Beleg bekommen, dass die privaten Schlüssel woanders als nur beim Kunden sind und dementsprechend die Zertifikate gesperrt.

    Nur: wenn das ein Geschäftsmodell von Trustico ist, dann sollte das doch schon länger auch DigiCert bekannt sein oder nicht ? Dann müssten die jetzt doch alle Zertifikate von Trustico sperren, weil zu vermuten ist, dass Trustico die Schlüssel aller je bei Ihnen ausgestellten Zertifikate hat.

  4. Re: Trustico gehackt?

    Autor: pommesmatte 02.03.18 - 07:45

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu
    > DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert
    > will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu
    > haben.

    Nein, das Ganze ist viel verrückter.
    Trustico will, dass alle ihre Kunden von alten Symantec Zertifikaten (jetzt Digicert) zu Comodo wechseln.
    Um das zu erzwingen wollten sie bei Digicert die Zertifikate sperren lassen.
    Digicert sagt nun, sie sperren nicht einfach Zertifikate, sondern nur wenn der private Schlüssel kompromittiert wurde.
    Also kompromittiert Trustico die 23.000 Schlüssel einfach selbst, indem sie die Digicert zusenden.
    Jetzt muss Digicert die sperren.

  5. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:50

    https://www.golem.de/news/zertifikate-trustico-verwundbar-fuer-root-code-injection-1803-133089.html

    Also doch gehackt.

  6. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:52

    Es ist ja kein verbotenes Geschäftsmodell. Den Regeln entspricht aber, dass Private Keys nicht per Email verschickt werden.

  7. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:57

    Daran dachte ich auch, aber die können ja nicht einfach so ihre Kunden vergraulen. Als Typisch kapitalistisches Unternehmen könnte man sogar so weit gehen, und den Kunden sagen: Ihr Zertifikat wird bald nicht mehr funktionieren, weil Sie mit Symantec auf's falsche Pferd gesetzt haben. Wir bieten Ihnen eins von Comodo für 50% des Preises an.

    Aber all die Certs zu invalidieren, nur um Symantec zu sagen: "Hey ihr Arschlöcher, mit euch wollen wir nichts mehr zu tun haben, weil ihr Taugenichtse seid, wir fackeln sogar die Server unserer Kunden ab, damit ihr wisst, wie wenig wir noch mit euch zu tun haben wollen" macht einfach keinen Sinn; da schießt man sich in's eigene Bein.

  8. Re: Trustico gehackt.

    Autor: pommesmatte 02.03.18 - 08:57

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > www.golem.de
    >
    > Also doch gehackt.

    Nö, das war erstens später. Und zweitens haben Angriffe auf den Webserver eines Key-Resellers eher wenig mit den privaten Schlüsseln der Kunden zu tun.

  9. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:59

    Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt.

    Als Service, weil manche wohl keine CSR erstellen können.



    2 mal bearbeitet, zuletzt am 02.03.18 09:01 durch logged_in.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Energiedienst Holding AG, Rheinfelden (Baden)
  2. THD - Technische Hochschule Deggendorf, Pfarrkirchen
  3. Wolters Kluwer, Hürth bei Köln
  4. SSI Schäfer IT Solutions GmbH, Giebelstadt, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. 4,99€
  3. 3,99€
  4. (-77%) 3,45€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

  1. Magentagaming: Auch die Telekom startet einen Cloud-Gaming-Dienst
    Magentagaming
    Auch die Telekom startet einen Cloud-Gaming-Dienst

    Google Stadia, Blade Shadow und jetzt Magentagaming: Die Deutsche Telekom macht beim derzeit viel diskutierten Cloud-Gaming-Geschäft mit. Das Angebot der Telekom umfasst zum Beginn 100 Spiele und soll in Full-HD und später in 4K funktionieren. Die Beta startet noch auf der Gamescom 2019.

  2. Streaming: Disney+ kommt zunächst nicht für Amazon-Geräte
    Streaming
    Disney+ kommt zunächst nicht für Amazon-Geräte

    Disneys Streamingdienst Disney+ wird auf einer Reihe von Geräten als App verfügbar sein - nicht jedoch auf Amazons Tablets und TV-Sticks. Außerdem hat Disney die ersten Länder bekanntgegeben, in denen der Dienst im November 2019 starten wird.

  3. Per Hubschrauber: US-Marine testet analoge Nachrichtenübermittlung
    Per Hubschrauber
    US-Marine testet analoge Nachrichtenübermittlung

    Wie übermittelt man eine Nachricht und stellt sicher, dass der Feind sie nicht mithört? Man lässt sie von einem fliegenden Boten ausliefern. Was vor 80 Jahren funktioniert hat, geht auch heute noch.


  1. 17:39

  2. 16:45

  3. 15:43

  4. 13:30

  5. 13:00

  6. 12:30

  7. 12:02

  8. 11:55