Début mars, l’autorité de certification DigiCert a dû révoquer 23000 certificats SSL après que Trustico, un de ses revendeurs, lui ait annoncé la fuite des clés privées de ces certificats.

L’origine du conflit

Trustico est revendeur de certificats SSL notamment ceux de DigiCert. Courant février, Trustico a demandé à DigiCert de révoquer un certain nombre de certificats SSL, affirmant (sans plus de détails) qu’ils n’étaient pas fiables car ils avaient été compromis. En retour, DigiCert a demandé à recevoir des preuves de cette compromission. Trustico a alors affirmé être en possession des clés privées de ces certificats. Or, la clé privée d’un certificat n’est pas censée quitter le serveur qui a généré la demande de certificat.
Au final, pour prouver ses allégations, Trustico a envoyé un e-mail contenant quelques 23 000 clés privées à DigiCert. Cette action de la part de Trustico a contraint DigiCert de révoquer les certificats sous 24 heures (comme l’y obligent les lignes directrices des autorités de certification).
Un échange d’e-mail par clients interposés s’en est suivi. DigiCert a pris la liberté de contacter les clients de Trustico pour les avertir. Ce que Trustico n’a pas apprécié.
Pour se défendre, Trustico a affirmé avoir récemment signalé à ses clients qu’il ne souhaitait plus commercialiser les certificats Symantec pour ne pas les pénaliser, notamment vis-à-vis des utilisateurs de navigateurs Chrome et Firefox.

Le prétexte

A l’origine, la décision de Google Chrome et de Mozilla Firefox de ne plus accorder leur confiance à certains certificats vendus sous la marque Symantec (Symantec, GeoTrust, et Thawte). Or, DigiCert a récemment fait l’achat de la division sécurité Web de Symantec. Et c’est là que le bât blesserait selon Trustico.
On peut tout de même s’interroger sur la procédure de génération de certificats de Trustico. S’ils étaient en possession d’autant de clés privées, il est probable qu’elles soient centralisées sur un serveur et que ce serveur ait été compromis par un tiers. Ce qui pousse à se demander pourquoi ils ont voulu révoquer autant de certificats d’un seul coup.

La politique d’Icodia

Chez Icodia, la clé privée et le fichier csr permettant la demande de création de certificat SSL, sont directement générés et stockés sur le serveur, et seul le csr est envoyé à l’autorité de certification pour la validation SSL signée. En aucun cas nous ne transmettons les clés privées à l’organisme racine chargé de la signature SSL.
Les clés privées ne sont donc jamais centralisées, et encore moins divulguées.
Il faut imaginer le principe d’une communication SSL : si vous devez recevoir un document chiffré et authentique, vous envoyez à votre expéditeur un cadenas ouvert, mais vous conservez la clé de ce cadenas. Il sécurisera le document avec le cadenas et vous le renverra, mais en aucun cas, ni lui ni un autre n’aura eu accès à votre clé que vous aurez conservée.

Mise à jour du 08/03/2018 :

Juste après la fuite de clés privées, le site de Trustico a été rendu inaccessible. Cette « panne » s’est produite peu de temps après qu’un chercheur en sécurité web ait publié une faille critique sur Twitter.
La vulnérabilité permettait à un visiteur de lancer un code malicieux sur un serveur Trustico. Un formulaire de confirmation de certificat possédait les droits « root » sur la machine. Il était donc possible, en insérant du code dans les champs de formulaire, de le faire s’exécuter sur la machine avec tous les privilèges.
Même si la faille a été postée le 1er mars, après la divulgation des clés, on se doute qu’elle était déjà présente bien avant.