Trustico ยอมรับ เก็บ Private Key จากใบรับรอง SSL ของลูกค้าจริง

Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรออกมายอมรับแล้วแอบเก็บ Private Keys จากใบรับรอง SSL บางส่วนของลูกค้าจริง หลังเกิดเหตุพิพาทกับ DigiCert จนนำไปสู่การเพิกถอนใบรับรอง SSL ลูกค้ากว่า 23,000 ใบ

Credit: wk1003mike/ShutterStock

เหตุการณ์นี้สืบเนื่องมาจากการที่ Trustico ต้องการเพิกถอนใบรับรอง SSL 50,000 ใบของ Symantec (ตอนนี้เป็นส่วนหนึ่งของ DigiCert) และหยุดสัญญากับทาง DigiCert เพื่อไปต่อสัญญาใหม่กับทาง Comodo แต่ทาง DigiCert ปฏิเสธโดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรขอเพิกถอนใบรับรองโดยไม่ได้รับความยินยอมจากลูกค้า เว้นแต่จะเป็นกรณีที่ใบรับรองดังกล่าวถูกแฮ็ค ทาง Trustico จึงได้ส่งเมลถึงประกอบด้วย Priivate Key ของลูกค้าจำนวนมากกว่า 23,000 รายให้แก่ DigiCert ส่งผลให้ DigiCert เข้าใจว่าใบรับรอง SSL ที่ใช้ Private Keys เหล่านี้ถูกแฮ็ก จึงส่งเมลแจ้งเตือนลูกค้าและเริ่มดำเนินการเพิกถอนใบรับรอง

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก ทำให้ทั้ง DigiCert และผู้เชี่ยวชาญหลายคนสงสัยว่า Trustico กำลังละเมิดมาตรฐานของผู้ให้บริการ SSL Certificate โดยแอบเก็บ Private Keys ของลูกค้าโดยไม่ได้รับอนุญาต ส่งผลให้ลูกค้าอาจถูกปลอมตัวหรือดักฟังข้อมูลการเข้าถึงเว็บไซต์ได้

ล่าสุด Trustico ได้ออกแถลงการณ์ยอมรับว่าดำเนินการเก็บข้อมูล Private Keys ของใบรับรอง SSL ลูกค้าจริง โดยระบุเหตุผลว่าเพื่อใช้ในกระบวนการเพิกถอน (Revocation) ใบรับรอง และข้อมูลถูกเก็บใน Cold Storage แต่ไม่มีการถามความสมัครใจจากลูกค้าแต่อย่างใด ที่น่าตกใจคือ จากการตรวจสอบพบว่าฟอร์มที่ทำ Certificate Signing Request (CSR) หรือใช้สร้างกุญแจเข้ารหัสมีการทำงานร่วมกับฟอร์ม JavaScript จากกอีก 5 – 6 บริษัทอย่างต่ำ (รวมไปถึงผู้ให้บริการโฆษณา) ส่งผลให้บริษัทเหล่านั้นอาจเข้าถึง Private Keys ของลูกค้าได้ นอกจากนี้ ยังพบอีกว่าใบรับรอง SSL บางใบถูกใช้สำหรับระบบอีเมลของธนาคารบางแห่งอีกด้วย อย่างไรก็ตาม ไม่มีหลักฐานยืนยันว่า Trustico นำ Private Keys ของลูกค้าไปใช้ในทางที่ไม่พึงประสงค์

สุดท้าย Trustico ระบุในแถลงการณ์ว่า มันเป็นสิทธิ์ตามสัญญาของเขาที่จะเปลี่ยนการเป็นพาร์ทเนอร์ขายใบรับรองจาก DigiCert ไปเป็น Comodo เนื่องจากปัญหาด้านความมั่นคงปลอดภัยของ Symantec

ที่มา: https://www.bleepingcomputer.com/news/security/trustico-states-they-stored-private-keys-for-customers-ssl-certificates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[วิดีโอ] Sponsored Webinar: รู้เขา รู้เรา จัดระเบียบ Bot ดีและร้ายให้อยู่หมัดโดย F5 Networks

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Sponsored Webinar เรื่อง “Fight the Good Fight against the Bad Bots – รู้เขา รู้เรา …

ชีวิตดีอยู่ที่ไอเดีย! ไปดูนวัตกรรมแห่งอนาคต จาก Cisco Innovation Challenge ที่จะทำให้ชีวิตคุณดีขึ้นได้จริง

ด้วยไอเดียที่ว่ามนุษย์น่าจะบินไปบนท้องฟ้าได้เหมือนกับนก พี่น้องตระกูลไรท์จึงประดิษฐ์เครื่องบินลำแรกของโลกขึ้นโบยบินบนท้องฟ้า และด้วยไอเดียที่ว่าคนเราน่าจะพูดคุยหากันได้สดๆ ผ่านเครื่องมือบางอย่าง อเล็กซานเดอร์ เกรแฮม เบลล์ จึงประดิษฐ์โทรศัพท์เครื่องแรกของโลกขึ้นมาได้