DigiCert отзывает 23 тысячи SSL-сертификатов: в чем причина / Хабр

Замена cacert.pem

Самый быстрый вариант. Подойдет тем, кто ранее не вносил изменения в файл cacert.pem. Нужно взять файл cacert.pem, где сертификат DigiCert уже добавлен (архив доступен тут: cacert.pem), и заменить им файл с аналогичным именем в bin директории.

Добавление с помощью обработки

Обработка поможет тем, кто использует файловый вариант работы 1С:Предприятия и не хочет искать файл cacert.pem. Достаточно запустить обработку (архив с обработкой доступен тут: обработка.epf) и нажать на кнопку “Обновить cacert.pem”.

Если возникнет следующее предупреждение:

То, скорее всего, вам не хватает прав и нужно запустить “1С:Предприятие” от имени администратора, нажав правой кнопкой мыши на иконке и выбрав “Запуск от имени администратора”:

Добавление текстовым редактором

Универсальный вариант. Добавить информацию в cacert.pem можно любым текстовым редактором: например Notepad (Блокнот) в OS Windows или nano в ОС Linux.

Алгоритм добавления сводится к добавлению подготовленного текста сертификата в конец файла cacert.pem:

1. В выбранном текстовом редакторе копируем весь текст из pem файла сертификата DigiCert (архив доступен тут: digicert.pem).
2. Вставляем в конец файла cacert.pem скопированный текст, сохраняем cacert.pem.

Assign & configure server software to use the ssl certificate

After you have imported the SSL certificate, you need to configure your Microsoft server to use it to secure your website or email connections. Follow the instructions for your specific server platform.

Digicert ssl и code signing сертификаты | лидертелеком | leaderssl

Export an ssl certificate

If you need to export an installed SSL certificate from a Microsoft server type with its corresponding private key as a .pfx file to use either as a backup or for importing to another server, see DigiCert SSL Cert Util SSL Import/Export Instructions.

Private key missing error

If the utility cannot find the private key associated with the public key included with the certificate, you receive the “Private Key Missing” error, which will prevent you from successfully importing the certificate and exporting it as a .pfx file. To remedy the problem, you need to figure out why you are receiving the error and then take the appropriate action.

1. Private Key on Different Machine

   Most of the time, you get this error because the private key is on a different machine than the one you are importing the certificate to. For example, if you created the CSR for the certificate on a different machine than the one you are importing the certificate to, our certificate utility will be unable to find the private key associated with the public key in the certificate.

   To fix this problem, you need to locate the machine where you created the CSR and import the certificate to it. Then, you will be able to export the certificate as a .pfx file, if needed.

   Important: If you’ve lost the private key, you need to create a new CSR and reissue/rekey the certificate.

2. Wrong Certificate

   Sometimes, you have the right private key, but accidentally downloaded the wrong certificate. Often this happens when you have created multiple duplicate certificates.

   To fix this problem, you need to download the correct certificate and import it to your machine. Then, you will be able to export the certificate as a .pfx file if needed.

Use the digicert certificate utility to install your ssl certificate on your server

After DigiCert has validated your order and has issued the SSL certificate, you can use the DigiCert® Certificate Utility for Windows to install the certificate file to your Microsoft server.

If you have not yet created a CSR and need a simple way to create it, see the CSR Creation Instructions for Microsoft Servers.

Действующие лица

Trustico продает сертификаты Symantec, GeoTrust, Thawte и RapidSSL. Ранее всеми этими сертификатами управлял Symantec, однако с 1 декабря 2021 года за работу с ними отвечает CA DigiCert. В прошлом году Google

процедуру прекращения доверия к сертификатам, выданным с использованием старой инфраструктуры Symantec, из-за того, что в компании не смогли обеспечить должный контроль за соблюдением стандартов обслуживания.

В результате Symantec решили продать сертификационный бизнес компании DigiCert, чтобы «восстановить доверие» и соблюсти требования Google, — об этом мы рассказывали ранее.

Откуда взялись ssl-ключи

Начало истории было положено еще в первой половине февраля. Тогда Trustico

DigiCert отозвать сразу 50 тыс. Сертификатов, якобы они были скомпрометированы. Центр сертификации не стал этого делать — у реселлера не было подтверждающих аргументов.

Немного позже на сайте Trustico появилась информация об отказе от SSL-сертификатов Symantec, GeoTrust, Thawte и RapidSSL. Тогда глава Trustico Зейн Лукас (Zane Lucas) и отправил вице-президенту DigiCert Джереми Роули (Jeremy Rowley) копии секретных ключей по электронной почте в качестве подтверждения компрометации.

В Trustico автоматизировали выдачу сертификатов с помощью CSR (Certificate Signing Request) — благодаря этому реселлер мог сохранять и оставлять у себя копии приватных ключей. При этом пользователи Trustico не знали о том, что их ключи доступны кому-то еще, в том числе генеральному директору компании.

/ Flickr / Jeremy Segrott / CC

Реакция сообщества и последствия

Подобное поведение Trustico

мнение, что в компании специально скомпрометировали ключи, чтобы запустить процедуру отзыва SSL/TLS-сертификатов Symantec и начать заниматься другими продуктами. Подтверждает это и тот факт, что до инцидента Trustico

сертификаты конкурента DigiCert — Comodo.

Также беспокойство сообщества вызвал сам факт пересылки ключей по электронной почте. Так как неизвестно, был ли канал, по которым передавались сообщения, защищенным. Поэтому не удивительно, что на инфраструктуру реселлера обратили внимание специалисты по информационной безопасности.

Ситуация с trustico

28 февраля Trustico

у DigiCert аннулировать сертификаты Symantec из-за их компрометации. Когда в DigiCert попросили предоставить подробности, представители Trustico просто выслали им по электронной почте 23 тыс. закрытых ключей сертификатов клиентов.

В результате у DigiCert не осталось выбора — центр запустил процесс отзыва сертификатов, отправив уведомление каждому владельцу сертификата, секретные ключи которых фигурировали в письме Trustico. При этом в DigiCert отмечают, что процедура аннулирования сертификатов никак не связана с прекращением доверия Google и Mozilla, которая должна начаться 15 марта.