23.000 certificados revocados de Trustico-DigiCert
La autoridad certificadora (CA) DigiCert a finales de febrero envió un correo a los clientes del revendedor de certificados digitales Trustico, para informarles que sus certificados habían sido comprometidos y que procederán a anularlos.
Unas semanas antes, Trustico informó que dejaría de emitir certificados de Symantec, compañía perteneciente a DigiCert, y de todas sus filiales. Esto se debe a que Google dejará de confiar en los certificados emitidos por estas CA.
Según fuentes externas Trustico solicitó a DigiCert que anulara 50.000 certificados pero esta se negó, alegando que solamente los clientes pueden anular el certificado o que exista un problema de seguridad con las claves privadas. Tras su negativa Trustico envío 23.000 claves privadas de sus clientes mediante correo electrónico a DigiCert según informó Jeremy Rowley CPO de DigiCert.
Después de esto DigiCert, tuvo que anular esos 23.000 certificados comprometidos aunque los 27.000 restantes se ha negado a revocarlos.
- 28/02/2018 bleepingcomputer.com 23,000 Users Lose SSL Certificates in Trustico-DigiCert Spat
- 28/02/2018 cyberscoop.com Trustico revokes 23,000 SSL certificates due to compromise
- 01/03/2018 zdnet.com Trustico compromises own customers' HTTPS private keys in spat with partner
- 01/03/2018 theregister.co.uk 23,000 HTTPS certs will be axed in next 24 hours after private keys leak