Trustwave ha reconocido que ha vendido un certificado digital para que un cliente escuche el tráfico cifrado de los empleados. El desarrollador de software de Mozilla ahora está considerando si revocar la confianza en los certificados raíz de Trustwave.
Ola de confianza admitió la venta del certificado raíz, que ahora revocó, en una publicación de blog el sábado.
«Este certificado único fue emitido a un cliente interno de una red corporativa y no a un ‘gobierno’, ‘ISP’ o ‘política'», decía la publicación del blog. «Tenía que usarse en una red privada en un sistema de prevención de pérdida de datos (DLP)». Trustwave dijo que el certificado raíz subordinado se almacenó en un módulo de seguridad de hardware, un dispositivo de cifrado que también generaba claves SSL para reenviar el tráfico interceptado.
«Ninguna parte ha tenido acceso a las claves privadas del certificado SSL resignado, ni ha podido acceder a ellas», dijo Trustwave. «Esto es lo que ha impedido que el cliente pueda emitir un certificado ad hoc para cualquier dominio y usarlo fuera de este hardware e infraestructura».
Un problema con el uso de certificados digitales como un mecanismo confiable en línea es que si una parte se apropia con éxito o crea sus propios certificados, puede engañar a los navegadores que es otra entidad en Internet.
Miércoles, admisión a Trustwave provocó un debate sobre el sistema de seguimiento de errores de Mozilla, Bugzilla, si el desarrollador de Mozilla Firefox debe revocar Trustwave por sus acciones.
«El detalle más importante en el que enfocarse es que Trustwave sabía cuando emitió el certificado que se usaría para firmar certificados para sitios web que no son propiedad del cliente corporativo de Trustwave», dijo el experto en privacidad Christopher Soghoian. «Quiero decir, Trustwave vendió un certificado sabiendo que se usaría para interceptar activamente el tráfico HTTPS de intermediario». Un ataque de intermediario es cuando un tercero escucha una comunicación secuestrando y enviando mensajes entre las partes.
Soghoian le pidió a Mozilla que revocara la confianza en el certificado raíz de Trustwave, una acción que podría tener graves consecuencias para Trustwave.
«La solidez del certificado raíz conlleva una gran responsabilidad», dijo Soghoian. Trustwave ha abusado de este poder y confianza, por lo que el castigo correcto aquí es la muerte (de su certificado raíz).
Trustwave insistió en que había auditado la seguridad física y de red de sus clientes y sus políticas de seguridad.
«El sistema se usó solo para enrutar el tráfico interno de la empresa y no de ninguna otra manera», dijo Brian Trzupek, vicepresidente de Trustwave para la identidad administrada y la autenticación. dijo Mozilla en la discusión. «Además, nuestra auditoría en el sitio se centró en la seguridad física y los controles alrededor de los dispositivos para garantizar que las cajas no se puedan quitar físicamente de la instalación para colocarlas en otras redes para dirigir el tráfico allí».
Mozilla está considerando eliminar el certificado raíz de Trustwave de su CA, lo que significaría que los productos de Mozilla no confiarían en los certificados de Trustwave. Por ejemplo, las personas que utilizan Firefox para visitar un sitio web con un certificado Trustwave recibirán un mensaje de error que les indica que el sitio no es de confianza.
«Todavía estamos evaluando los informes de Trustwave y aún no hemos decidido un curso de acción», dijo Mozilla en un comunicado el jueves. «Mientras tanto, nos complace saber que este certificado subordinado ha sido revocado. Alentamos a cualquier otra CA con certificados similares a seguir el ejemplo de divulgación y revocación de Trustwave «.
Revocar el certificado de confianza o los certificados raíz de una empresa puede destruir la organización. Varias organizaciones han revocado la confianza en DigiNotar después de un ataque de piratería, obligar a la autoridad de certificación a declararse en quiebra en septiembre.