Skip to content

Untrustico

Dann war da noch eine Firma Trustico, die SSL-Zertifikate im Angebot hat oder hatte. Da gab es ein paar Unschärfen im Bereich der Sicherheit.

Soweit ich das verstanden habe, geht die Geschichte damit los, dass die Firma irgendwas mit Symantec zu tun hatte, die ja dank intensiver wiederholter völliger Ahnungslosigkeit nicht mehr universell als Certification Authority angesehen werden. Von da wollte Trustico wohl kurzfristig weg, bekam auf einen Versuch, großräumig Zertifikate ungültig gemacht zu bekommen nur als Antwort, dass das nur ginge, wenn die privaten Schlüssel bekannt wären. Trustico so: Hold my beer. Da schickt dann jemand eine Mail mit privaten Schlüsseln von einigen zehntausend über sie erzeugte Schlüsselpaare. Damit war dann klar, dass die Schlüsselpaare eigentlich noch nie sicher waren.

So etwas hilft übrigens nicht, wenn man von Kunden will, dass sie vertrauen, dass eine Firma mit Zertifikatsschlüsseln richtig umgeht.

Dagegen fällt es dann kaum noch auf, dass der Trustico-Webserver sich übrigens dazu überreden ließ, beliebige Befehle als Root auszuführen.

Vielleicht sollten die Leute bei Trustico es mal mit eienr Beschäftigung versuchen, von der sie mehr Ahnung haben. IT und Sicherheit liegen denen offenbar nicht so.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!

tweetbackcheck