每當我們向憑證機構(CA)購買憑證,對方都會提醒我們要把私鑰妥善保管,不要洩露予他人。不過有憑證機零售商居然把 23,000 個 SSL/TLS 私鑰透過電郵轉寄其合作伙伴。
早於 2015 年, Symantec 有員工誤發憑證,及後 Google 調查發現,涉事憑證多達 30,000 個,最終 Symantec 出售憑其憑證業務予 DigiCert。
而負責代理 Comodo 和 Symantec 的英國 SSL/TLS 憑證零售商 Trustico,在今年二月通知憑證機構 DigiCert,稱部分憑證有問題,要求註銷 50,000 個由 Symantec 發行的憑證。然後當 DigiCert 要求 Trustico 提供更多說明時,Trustico 便以電郵方式把 23,000 個憑證的私鑰發送給對方。
熟知部署 HTTPS 的人都知道,憑證機構發出的私鑰應好好保管,但 Trustico 居然可以取得私鑰並轉發至他人,引起關注。另一方面,亦有人批評 Trustico 此舉是強迫採用 Symantec 憑證的客戶轉用 Comodo 憑證。
該 23,000 個憑證現已註銷。Trustico 解釋,他們是因應對方要求,於冷儲存中取回私鑰並把私鑰傳送至對方;至於受影響的客戶,Trustico 和 DigiCert 均表示會提供免費憑證。
Source : The Register , Acs Technica