close
企業趨勢

憑證代理商將私鑰以電郵發送至他人 23,000 HTTPS 憑證遭銷毀

每當我們向憑證機構(CA)購買憑證,對方都會提醒我們要把私鑰妥善保管,不要洩露予他人。不過有憑證機零售商居然把 23,000 個 SSL/TLS 私鑰透過電郵轉寄其合作伙伴。

 

早於 2015 年, Symantec 有員工誤發憑證,及後 Google 調查發現,涉事憑證多達 30,000 個,最終 Symantec 出售憑其憑證業務予 DigiCert。

而負責代理 Comodo 和 Symantec 的英國 SSL/TLS 憑證零售商 Trustico,在今年二月通知憑證機構 DigiCert,稱部分憑證有問題,要求註銷 50,000 個由 Symantec 發行的憑證。然後當 DigiCert 要求 Trustico 提供更多說明時,Trustico 便以電郵方式把 23,000 個憑證的私鑰發送給對方。

熟知部署 HTTPS 的人都知道,憑證機構發出的私鑰應好好保管,但 Trustico 居然可以取得私鑰並轉發至他人,引起關注。另一方面,亦有人批評 Trustico 此舉是強迫採用 Symantec 憑證的客戶轉用 Comodo 憑證。

 

該 23,000 個憑證現已註銷。Trustico 解釋,他們是因應對方要求,於冷儲存中取回私鑰並把私鑰傳送至對方;至於受影響的客戶,Trustico 和 DigiCert 均表示會提供免費憑證。

Source : The Register , Acs Technica

 

Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。