Trustico ยอมรับ เก็บ Private Key จากใบรับรอง SSL ของลูกค้าจริง

Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรออกมายอมรับแล้วแอบเก็บ Private Keys จากใบรับรอง SSL บางส่วนของลูกค้าจริง หลังเกิดเหตุพิพาทกับ DigiCert จนนำไปสู่การเพิกถอนใบรับรอง SSL ลูกค้ากว่า 23,000 ใบ

เหตุการณ์นี้สืบเนื่องมาจากการที่ Trustico ต้องการเพิกถอนใบรับรอง SSL 50,000 ใบของ Symantec (ตอนนี้เป็นส่วนหนึ่งของ DigiCert) และหยุดสัญญากับทาง DigiCert เพื่อไปต่อสัญญาใหม่กับทาง Comodo แต่ทาง DigiCert ปฏิเสธโดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรขอเพิกถอนใบรับรองโดยไม่ได้รับความยินยอมจากลูกค้า เว้นแต่จะเป็นกรณีที่ใบรับรองดังกล่าวถูกแฮ็ค ทาง Trustico จึงได้ส่งเมลถึงประกอบด้วย Priivate Key ของลูกค้าจำนวนมากกว่า 23,000 รายให้แก่ DigiCert ส่งผลให้ DigiCert เข้าใจว่าใบรับรอง SSL ที่ใช้ Private Keys เหล่านี้ถูกแฮ็ก จึงส่งเมลแจ้งเตือนลูกค้าและเริ่มดำเนินการเพิกถอนใบรับรอง

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก ทำให้ทั้ง DigiCert และผู้เชี่ยวชาญหลายคนสงสัยว่า Trustico กำลังละเมิดมาตรฐานของผู้ให้บริการ SSL Certificate โดยแอบเก็บ Private Keys ของลูกค้าโดยไม่ได้รับอนุญาต ส่งผลให้ลูกค้าอาจถูกปลอมตัวหรือดักฟังข้อมูลการเข้าถึงเว็บไซต์ได้

ล่าสุด Trustico ได้ออกแถลงการณ์ยอมรับว่าดำเนินการเก็บข้อมูล Private Keys ของใบรับรอง SSL ลูกค้าจริง โดยระบุเหตุผลว่าเพื่อใช้ในกระบวนการเพิกถอน (Revocation) ใบรับรอง และข้อมูลถูกเก็บใน Cold Storage แต่ไม่มีการถามความสมัครใจจากลูกค้าแต่อย่างใด ที่น่าตกใจคือ จากการตรวจสอบพบว่าฟอร์มที่ทำ Certificate Signing Request (CSR) หรือใช้สร้างกุญแจเข้ารหัสมีการทำงานร่วมกับฟอร์ม JavaScript จากกอีก 5 – 6 บริษัทอย่างต่ำ (รวมไปถึงผู้ให้บริการโฆษณา) ส่งผลให้บริษัทเหล่านั้นอาจเข้าถึง Private Keys ของลูกค้าได้ นอกจากนี้ ยังพบอีกว่าใบรับรอง SSL บางใบถูกใช้สำหรับระบบอีเมลของธนาคารบางแห่งอีกด้วย อย่างไรก็ตาม ไม่มีหลักฐานยืนยันว่า Trustico นำ Private Keys ของลูกค้าไปใช้ในทางที่ไม่พึงประสงค์

Another one – the first certificate I looked at, where DigiCert now have the private key (ie it’s compromised) was a government banking email server, the certificate protecting the encryption of their email. So… TrustIco had that private key, w/o even a password, for XYZ years.

— Kevin Beaumont (@GossiTheDog) February 28, 2018

สุดท้าย Trustico ระบุในแถลงการณ์ว่า มันเป็นสิทธิ์ตามสัญญาของเขาที่จะเปลี่ยนการเป็นพาร์ทเนอร์ขายใบรับรองจาก DigiCert ไปเป็น Comodo เนื่องจากปัญหาด้านความมั่นคงปลอดภัยของ Symantec

ที่มา: https://www.bleepingcomputer.com/news/security/trustico-states-they-stored-private-keys-for-customers-ssl-certificates/