Urząd certyfikacji Trustwave przyznał, że wydał komercyjnej firmie certyfikat umożliwiający jej wystawienie prawidłowych certyfikatów SSL dla dowolnego serwera w sieci.
Certyfikat podrzędnego urzędu certyfikacji został wydany w celu zainstalowania w rozwiązaniu zapobiegającemu wyciekowi danych (DLP) i był używany przez korporacyjny system do podsłuchiwania całego ruchu HTTPS wychodzącego z i przychodzącego do firmy. System ten, oparty o SSL proxy, generował w czasie rzeczywistym zaufane certyfikaty SSL dla wszystkich witryn odwiedzanych przez użytkowników w sieci firmy, aby móc analizować przesyłany przez nich ruch. Dzięki temu, iż podstawione certyfikaty pochodziły od zaufanego urzędu certyfikacji, nie generowały one błędów w przeglądarkach (wszystkie ważniejsze przeglądarki ufają Trustwave).
Sam certyfikat umieszczony był w zabezpieczonym kryptoprocesorze (HSM), uniemożliwiającym jego wydobycie i zastosowanie do innych celów. Przed wystawieniem tego szczególnego certyfikatu Trustwave wykonało audyt zabezpieczeń klienta oraz podpisało z nim osobną umowę. Mimo wprowadzonych zabezpieczeń Trustwave uznał jednak po jakimś czasie, iż wydawanie tego typu certyfikatów klientom komercyjnym nie jest najlepszą praktyką i certyfikat odwołał. Oznajmił również, iż nie będzie takich certyfikatów wystawiał w przyszłości.
Nie jest tajemnicą, iż certyfikaty podrzędnego urzędu certyfikacji umożliwiające wystawianie dowolnych prawidłowych certyfikatów są kupowane przez rządy, organy ścigania czy dostawców internetowych w celu analizy ruchu. Był to jednak pierwszy potwierdzony przypadek, gdy tego typu certyfikat został wydany organizacji spoza tego uprzywilejowanego grona.
Rozwiązania DLP, stosowane w korporacjach, często korzystają z funkcjonalności SSL proxy, jednak jest on implementowana w inny sposób. Zamiast generować certyfikaty domyślanie zaufane przez przeglądarki, system oparty jest o własne centrum certyfikacji. Wymaga to wymuszenia zaufania dla tego nowego centrum certyfikacji we wszystkich przeglądarkach używanych w firmie. Minusem tego rozwiązania jest ograniczenie jego funkcjonowania jedynie do urządzeń kontrolowanych przez firmę. W przypadku, gdy pracownik korzysta w sieci firmowej z własnego urządzenia, jego przeglądarka zgłosi błąd certyfikatu.
Komentarze