凭证产业罗生门! 2.3万个SSL凭证竟莫名地被撤销了

DigiCert

这两天凭证产业发生了一起罗生门事件，有高达2.3万个SSL凭证于昨天（2/28）莫名被撤销。

被撤销的是由DigiCert所发行，并交由Trustico经销的2.3万个数位凭证。根据DigiCert的说法，该公司在2月9日接到Trustico的邮件，要求DigiCert撤销所有经由Trustico代售的5万个凭证，当DigiCert请Trustico提出说明时，Trustico在周二（2/27）直接寄来了2.3万个凭证的私钥。

一般而言，只有凭证所有人会握有凭证私钥，不管是DigiCert或Trustico都不应持有凭证私钥。DigiCert执行长Jeremy Rowley表示，根据凭证机构与浏览器论坛（CA/Browser Forum）的基本要求，一旦发现凭证外洩，他们就必须在24小时内移除这些遭到危害的凭证，因此他们别无选择地在周三（2/28）撤销这些凭证。

DigiCert也通知了凭证遭到撤销的用户，指出在凭证被撤销之后，若有使用者造访该站，那么就会看到此一凭证不可靠的警告讯息。

引发这场风波的Trustico动机并不难理解，该公司所代理的其实是赛门铁克（Symantec）所发行的数位凭证，当初赛门铁克因误发数万个凭证而被浏览器业者调降安全评等，继之在去年8月把数位凭证业务转手卖给了DigiCert。

身为Symantec凭证最大代理商之一的Trustico不免也受到牵连，除了在去年6月与另一凭证机构Comodo签下合作协议之外，并宣布从今年2月9日起，不再提供Symantec品牌的各种凭证，涵盖Symantec、GeoTrust、Thawte与RapidSSL。

依照Trustico的说法，该公司认为Symantec所发行的凭证有问题才要求DigiCert撤销，而DigiCert却希望Trustico提供凭证号码与金钥，才促使Trustico寄出了2.3万个凭证私钥。

Trustico表示，该公司允许用户订购凭证时产生「凭证签章要求」（Certificate Signing Request）与金钥，而这些金钥则被存放于冷储存（Cold Storage）中，以供撤销凭证时所用，同时强调这些金钥并未被危害。

这其实是场商业战争，儘管舆论似乎一面倒地偏向DigiCert，认为Trustico不应保留用户的凭证金钥，然而DigiCert的声明稿中除了暗指Trustico的系统受到危害之外，亦隐暪了曾希望Trustico提供凭证序号与金钥的要求，不论如何，突然被撤销凭证的2.3万个用户才是最大的受害者。