ข่าวไอที Blognone » DigiCert ประกาศ revoke ใบรับรองรวดเดียว 23,000 ใบ หลังพบหลักฐานว่ากุญแจหลุด อาจมีเพิ่มอีก

DigiCert ประกาศ revoke ใบรับรองรวดเดียว 23,000 ใบ หลังพบหลักฐานว่ากุญแจหลุด อาจมีเพิ่มอีก

28 กุมภาพันธ์ 2018
33   0

Jeremy Rowley จาก DigiCert แจ้งเตือนในกลุ่ม mozilla.dev.security.policy ว่าบริษัทกำลังประกาศยกเลิก (revoke) ใบรับรองรวดเดียวจำนวน 23,000 ใบ หลังยืนยันได้ว่ากุญแจสำหรับใบรับรองเหล่านั้นหลุดออกไปยังผู้อื่นแล้วจริง

อีเมลของ Rwoley ระบุว่าใบรับรองเหล่านี้ขายผ่านบริษัทตัวแทน Trustico ที่แจ้งขอยกเลิกใบรับรองเหล่านี้มาตั้งแต่ต้นเดือนกุมภาพันธ์แต่กลับสื่อสารผิดพลาดจึงไม่เดินหน้าไปไหน โดยทาง DigiCert ขอหลักฐานว่ากุญแจรั่วไหลออกไปแล้วจริง

ภายหลังทาง DigiCert ได้รับไฟล์กุญแจลับที่ตรงกับใบรับรอง 23,000 ใบ ทำให้บริษัทเตรียมยกเลิกใบรับรองเหล่านี้ทั้งหมด อย่างไรก็ดีรายชื่อใบรับรองที่ได้รับแจ้งมา แต่ยังไม่ส่งหลักฐานนั้นมากกว่านี้ โดยรวมแล้วมีประมาณ 50,000 รายการ

ตอนนี้ Trustico ยังไม่เปิดเผยว่ากุญแจใบรับรองเหล่านี้หลุดออกมาได้อย่างไร

ที่มา - mozilla.dev.security.policy

[source: https://www.blognone.com/node/100232]