Erlend Tangeraas Lygre Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Nå må tusenvis av irriterte IT-folk skaffe seg nye.Utstederne kranglet. 23 000 brukere mistet SLL-sertifikatene sine Lenke til kommentar
tommyb Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 For å få sine kunders sertifikater tilbaketrukket sendte de kundenes private nøkler i klartekst over et usikkert medium. Smooth. De fikk vilja si, men mistet forhåpentligvis en slump av kundene. 2 Lenke til kommentar
henrikwl Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 "Vi tar våre kunders sikkerhet på aller høyeste alvor, derfor er vi villige til å totalt pulverisere deres tillit til oss ved å avsløre at vi i hemmelighet beholder deres privatnøkler, og attpåtil sender dem over epost i klartekst". Og slik annonserte Trustico sin utgang fra sikkerhetsbransjen. 3 Lenke til kommentar
yhagger Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 For ikke å glemme at siden nok ble hacket i tillegg i etterkant: https://arstechnica.com/information-technology/2018/03/trustico-website-goes-dark-after-someone-drops-critical-flaw-on-twitter/ Relativt interessant å følge Troy Hunt og Scott Helme på Twitter i forhold til denne saken og mange mange andre. Lenke til kommentar
bmork Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Huh? Det er da vel ingen som sender fra seg den private nøkkelen til noen sertifikat-utsteder? Du lager et nøkkelpar og genererer en CSR som inneholder den offentlige nøkkelen. Du sender CSR til utsteder som sanity-sjekker, legger på sine default-attributter, og signerer. Den private nøkkelen forlater helst ikke serveren du skal bruke den på i det hele tatt, og ihvertfall ikke organisasjonen som skal bruke den. Se f.eks https://www.buypass.no/ssl/resources/generate-csr https://letsencrypt.org/docs/faq/#technical osv. Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her. Lenke til kommentar
tommyb Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her. Da er det ikke i historien, men i Trusticos rutiner. Jeg siterer her fra Trusticos egen statement: Trustico® followed the requests of DigiCert by initially recovering Private Keys from cold storage and subsequently e-mailing the associated order number and Private Keys to DigiCert in a ZIP file. Dette etter DigiCert vissnok skal ha etterspurt det. Further, Jeremy Rowley of DigiCert sent an e-mail to us requesting the following :"Can you please send a listing of the certificate serial numbers along with their private keys? Once we get that list, we’ll confirm the private key and revoke the certs as requested. Thanks!" Så jo, noen har tydeligvis gitt Trustico sine privatnøkler. 1 Lenke til kommentar
Sandormen Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Litt digresjon, men i samme stil som at et utenlandsk advokatfirma ber norsk rettsvesen om informasjon om privatpersoners IP-adresse, og får informasjonen utlevert... Something is rotten in Denmark, som gamle Sir Rystespyd sa en gang i tiden... Lenke til kommentar
Vegard Engen Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 "Vi tar våre kunders sikkerhet på aller høyeste alvor, derfor er vi villige til å totalt pulverisere deres tillit til oss ved å avsløre at vi i hemmelighet beholder deres privatnøkler, og attpåtil sender dem over epost i klartekst". Og slik annonserte Trustico sin utgang fra sikkerhetsbransjen. Når sant skal sies har vel også alle kundene her bevist sin inkompetanse. Du *gir* ingen, nei heller ikke CAen din, privatnøkkelen. Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Nå må tusenvis av irriterte IT-folk skaffe seg nye. Utstederne kranglet. 23 000 brukere mistet SLL-sertifikatene sine SLL????? Skal da være SSL. 1 Lenke til kommentar
Erlend Tangeraas Lygre Skrevet 2. mars 2018 Forfatter Del Skrevet 2. mars 2018 Nå må tusenvis av irriterte IT-folk skaffe seg nye. Utstederne kranglet. 23 000 brukere mistet SLL-sertifikatene sine SLL????? Skal da være SSL. Ble litt mange S-er og L-er for meg. Det sto SLL i tittelen i et minutt eller to etter publisering. Ble påpekt og rettet kjapt Lenke til kommentar
henrikwl Skrevet 2. mars 2018 Del Skrevet 2. mars 2018 Huh? Det er da vel ingen som sender fra seg den private nøkkelen til noen sertifikat-utsteder? Du lager et nøkkelpar og genererer en CSR som inneholder den offentlige nøkkelen. Du sender CSR til utsteder som sanity-sjekker, legger på sine default-attributter, og signerer. Den private nøkkelen forlater helst ikke serveren du skal bruke den på i det hele tatt, og ihvertfall ikke organisasjonen som skal bruke den. Se f.eks https://www.buypass.no/ssl/resources/generate-csr https://letsencrypt.org/docs/faq/#technical osv. Har aldri sett en CA som har villet ha private nøkler. Det er noe som skurrer alvorlig i den historien som er presentert her. De hadde en «forenklet tjeneste» der kunder slapp å tenke på ting som nøkler og CSR og sånne kompliserte, tekniske ting. De genererte nøkler og sertifikater, og kunden fikk en ferdig pakke med detaljerte instruksjoner for installering (eller til og med konsulenthjelp for installeringen). Og, i fall kunden fikk et katastrofalt havari med datatap hadde selvsagt Trustico en backup av alt sånn at kunden slapp å tenke på noe. For bekvemmelighet, så klart. Sikkerhet og brukervennlighet er stort sett alltid i motsatt ende av skalaen, og du vil ikke tro hvor langt over mot bekvemmelighetssiden av skalaen man kan tjene penger på å selge «sikkerhetsløsninger» til intetanende kunder. 2 Lenke til kommentar
OlaML Skrevet 3. mars 2018 Del Skrevet 3. mars 2018 Dere tastet tilfeldigvis inn mitt sertifikat og nå har jeg blitt hacket. ? ? Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 3. mars 2018 Del Skrevet 3. mars 2018 (endret) Nå må tusenvis av irriterte IT-folk skaffe seg nye. Utstederne kranglet. 23 000 brukere mistet SLL-sertifikatene sine SLL????? Skal da være SSL. Ble litt mange S-er og L-er for meg. Det sto SLL i tittelen i et minutt eller to etter publisering. Ble påpekt og rettet kjapt Det står enda i din post her inne.... Endret 3. mars 2018 av Slettet-t8fn5F Lenke til kommentar
Oleloke Skrevet 3. mars 2018 Del Skrevet 3. mars 2018 Jeg forstår ikke kommentaren til bildet, sikkert bare jeg som er dum. Men skulle det være farlig om det faktisk var et ekte public certifikat og noen fikk tak i det? Eller hva er det du mener, artikkelforfatter? Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 3. mars 2018 Del Skrevet 3. mars 2018 (endret) Jeg forstår ikke kommentaren til bildet, sikkert bare jeg som er dum. Men skulle det være farlig om det faktisk var et ekte public certifikat og noen fikk tak i det? Eller hva er det du mener, artikkelforfatter? En bank må trekke tilbake flere kredittkort, da den personlige koden ble sendt på postkort til sine mottakere... Forstår du den setningen og hvorfor de kredittkortene nå ikke er trygge? Endret 3. mars 2018 av Slettet-t8fn5F 1 Lenke til kommentar
Eplekatt Skrevet 5. mars 2018 Del Skrevet 5. mars 2018 Datasikkerhet 2018 : Regel 101 : Ikke send bedrifts meldinger i klartekst. Regel 102 : Ikke bruk browser mail klient. Regel 103 : Bruk No-reply adresser til ALLE som ikke er internt.. får noen som ikke trenger det en VANLIG e-post, vell da er helgeland løst.. prepear for spam. Regel 1 : Sunn fornuft er ikke nok, lær alle som skal jobbe mot eller med data hvordan de bruker datamaskinen på jobb.. selv selvopplærte eksperter kan somregel ikke mer en å navigere og finne ut hvordan de kommerforbi veisperringer og lager snarveier.. det er en grunn til at vi logger på vår egen bruker, nei det er ikke ok å bruke siv sin bare fordi du ikke vil logge ut... Nei du kan ikke lagre passordet, NEI du kan ikke bruke samme passordet alle stedene... NEEEI DU KAN IKKE GI PROGRAM X administrator tilgang... og nei du får ikke legge inn din egen browser fordi "den er bedre"... Nei du skal ikke surfe i arbeidstia... osv osv osv. Regel 324 : Ansett en som har tatt utdanning i IT... ellers er alle andre reglene bortkasta... Man kan ikke ta datasikkerhet på sparket å det varer evig med sikkerhet. Regel : 1 Blokker facebook, google, youtube, reddit, digi, aftenposten.. disse er de verste tracker websidene der det er lett og samle opp info. Lenke til kommentar
Oleloke Skrevet 5. mars 2018 Del Skrevet 5. mars 2018 Jeg forstår ikke kommentaren til bildet, sikkert bare jeg som er dum. Men skulle det være farlig om det faktisk var et ekte public certifikat og noen fikk tak i det? Eller hva er det du mener, artikkelforfatter?En bank må trekke tilbake flere kredittkort, da den personlige koden ble sendt på postkort til sine mottakere... Forstår du den setningen og hvorfor de kredittkortene nå ikke er trygge? Dette gjaldt bildeteksten som nå er endret ser jeg. Så nå er mitt forrige innlegg irrelevant. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå