Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

Trustico gehackt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Trustico gehackt?

    Autor: logged_in 01.03.18 - 13:28

    Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu haben.

    Aber es ist doch Trustico's Business-Model, auch manche private Schlüssel aufzubewahren.

    Also muss es doch einen Grund geben, warum Trustico diese Zertifikate annulieren lassen will. Wohl weil sie erfahren haben, dass ihre IT, und damit auch der Speicher wo die Schlüssel sicher aufbewahrt werden, gehackt wurde.

    Wieso sollte Trustico denen die Schlüssel als Beweis für die Kompromittierung schicken, wenn die die Schlüssel zuvor auch immer hatten, und das nicht als riskant einstuften.

    Definitiv ein Fehler von Trustico, unabhängig von der Symantec/Chrome-Geschichte.


    Trustico Webseite Zitat:

    Symantec® CA, misstraute von Google®
    Lass dich nicht erwischen Sie heraus! Jede Website, die ein SSL Zertifikat ausgestellt von Symantec® verwendet möglicherweise gewarnt, dass ihre Verbindung nicht privat ist und jemand versuchen könnte, ihre Daten zu stehlen.



    2 mal bearbeitet, zuletzt am 01.03.18 13:36 durch logged_in.

  2. Re: Trustico gehackt?

    Autor: Anonymer Nutzer 01.03.18 - 14:00

    naja, eventuell wollen sie nicht weiter die hand dafür in feuer legen, dass private keys länger bei ihnen sicher sind?

  3. Re: Trustico gehackt?

    Autor: phade 01.03.18 - 14:23

    So wirds wohl sein.

    Und DigiCert hat korrekt gehandelt. Die haben den Beleg bekommen, dass die privaten Schlüssel woanders als nur beim Kunden sind und dementsprechend die Zertifikate gesperrt.

    Nur: wenn das ein Geschäftsmodell von Trustico ist, dann sollte das doch schon länger auch DigiCert bekannt sein oder nicht ? Dann müssten die jetzt doch alle Zertifikate von Trustico sperren, weil zu vermuten ist, dass Trustico die Schlüssel aller je bei Ihnen ausgestellten Zertifikate hat.

  4. Re: Trustico gehackt?

    Autor: pommesmatte 02.03.18 - 07:45

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > Ich bin mir nicht sicher, ob ich das richtig verstehe. Trustico stagt zu
    > DigiCert, bestimmte Zertifikate sollen ihre Gültigkeit verlieren. DigiCert
    > will wissen warum, und Trustico sagt, weil sie die privaten Schlüssel dazu
    > haben.

    Nein, das Ganze ist viel verrückter.
    Trustico will, dass alle ihre Kunden von alten Symantec Zertifikaten (jetzt Digicert) zu Comodo wechseln.
    Um das zu erzwingen wollten sie bei Digicert die Zertifikate sperren lassen.
    Digicert sagt nun, sie sperren nicht einfach Zertifikate, sondern nur wenn der private Schlüssel kompromittiert wurde.
    Also kompromittiert Trustico die 23.000 Schlüssel einfach selbst, indem sie die Digicert zusenden.
    Jetzt muss Digicert die sperren.

  5. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:50

    https://www.golem.de/news/zertifikate-trustico-verwundbar-fuer-root-code-injection-1803-133089.html

    Also doch gehackt.

  6. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:52

    Es ist ja kein verbotenes Geschäftsmodell. Den Regeln entspricht aber, dass Private Keys nicht per Email verschickt werden.

  7. Re: Trustico gehackt?

    Autor: logged_in 02.03.18 - 08:57

    Daran dachte ich auch, aber die können ja nicht einfach so ihre Kunden vergraulen. Als Typisch kapitalistisches Unternehmen könnte man sogar so weit gehen, und den Kunden sagen: Ihr Zertifikat wird bald nicht mehr funktionieren, weil Sie mit Symantec auf's falsche Pferd gesetzt haben. Wir bieten Ihnen eins von Comodo für 50% des Preises an.

    Aber all die Certs zu invalidieren, nur um Symantec zu sagen: "Hey ihr Arschlöcher, mit euch wollen wir nichts mehr zu tun haben, weil ihr Taugenichtse seid, wir fackeln sogar die Server unserer Kunden ab, damit ihr wisst, wie wenig wir noch mit euch zu tun haben wollen" macht einfach keinen Sinn; da schießt man sich in's eigene Bein.

  8. Re: Trustico gehackt.

    Autor: pommesmatte 02.03.18 - 08:57

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > www.golem.de
    >
    > Also doch gehackt.

    Nö, das war erstens später. Und zweitens haben Angriffe auf den Webserver eines Key-Resellers eher wenig mit den privaten Schlüsseln der Kunden zu tun.

  9. Re: Trustico gehackt.

    Autor: logged_in 02.03.18 - 08:59

    Der Reseller hatte doch die privaten Keys für die Kunden aufbewahrt.

    Als Service, weil manche wohl keine CSR erstellen können.



    2 mal bearbeitet, zuletzt am 02.03.18 09:01 durch logged_in.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. IHK für München und Oberbayern, München
  3. Etengo (Deutschland) AG, Mannheim
  4. Allianz Lebensversicherungs - AG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 339,00€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

HP Pavilion Gaming 15 im Test: Günstig gut gamen
HP Pavilion Gaming 15 im Test
Günstig gut gamen

Mit dem Pavilion Gaming 15 bietet HP für 1.000 Euro ein Spiele-Notebook an, das für aktuelle Titel genügend 1080p-Leistung hat. Auch Bildschirm und Ports taugen, dafür nervt uns die voreingestellte 30-fps-Akku-Drossel.
Ein Test von Marc Sauter

  1. Gaming-Notebooks Asus ROG mit Core i9 und fixen oder farbstarken Displays

  1. FRK: Glasfaserausbau fehlt es nicht am Geld
    FRK
    Glasfaserausbau fehlt es nicht am Geld

    Ein führender FDP-Vertreter ist gegen mehr staatliche Programme für den Breitbandausbau. Doch wenn es sie gibt, sollten nicht nur die großen Netzbetreiber profitieren.

  2. Brexit: Autohersteller warnen vor ungeregeltem EU-Ausstieg
    Brexit
    Autohersteller warnen vor ungeregeltem EU-Ausstieg

    Der britische Premierminister Boris Johnson will Großbritannien am 31. Oktober aus der Europäischen Union führen, auch ohne ein Abkommen. Die Automobilbranche befürchtet bei einem ungeregelten Brexit schwere Einbußen.

  3. Innenministerium: Bundesregierung baut Sicherheitsapparat aus
    Innenministerium
    Bundesregierung baut Sicherheitsapparat aus

    Mehr Stellen und mehr Geld: Das Bundesinnenministerium weitet den Sicherheitsapparat immer weiter aus. Seit 2013 wurden mehrere Tausend neue Stellen geschaffen - die Geheimdienste sind darin noch nicht einmal enthalten.


  1. 18:41

  2. 17:29

  3. 17:15

  4. 16:01

  5. 15:35

  6. 15:17

  7. 15:10

  8. 14:52