Når man bestiller SSL-sertifikater er det du, og du alene som sitter med nøklene... ikke sant?
Nei. I alle fall ikke hvis du kjøpte dem fra Trustico, en tredjepartsleverandør av sertifikater.
Nå har 23 000 av sertifikatene som ble solgt gjennom dem blitt trukket tilbake. Det skjer etter en lang krangel med sertifikatutstederen Digicert, og en epost-utveksling hvor lederen i Trustico skal ha sendt en epost med titusener av sertifikatnøkler .
Dette er en litt komplisert historie, så vi tar det fra starten.
Stolte ikke på Symatec-sertifikater
Etter en flere sikkerhetsbrudd annonserte Google i fjor at de ikke lenger stolte på sertifikater utstedt av Symatec. SSL-giganten Digicert tok senere over Symatecs SSL-virksomhet. Det skal ha vært den oppkjøpte Symatec-delen av Digicert som håndterte sertifikatene til Trustico.
For en måned siden sendte Trustico en mail til Digicert. Her forklarte de at de ikke lenger hadde tillitt til de 50.000 sertifikatene de hadde blitt tildelt, og ba om at organisasjonen trakk disse tilbake. Samtidig startet de et nytt samarbeid med utstederen Comodo. Det opplyser Bleeping Computer, som har laget en tidslinje over hendelsene.
Digicert svarte med å nekte å trekke disse tilbake på grunn av «uklare regler». De var usikre på om utstedere hadde makt til å trekke SSL-sertifikater tilbake med mindre det forelå et sikkerhetsbrudd.
Da opplyste Trustico at de ville ta rettslige skritt. Digicert svarte med å terminere kontrakten med dem.
Men historien slutter ikke der.
Skal ha sendt nøkler i klartekst
Den 27. februar skal Digicert ha mottatt en epost fra Trustico. Denne skal ha inneholdt 23 000 sertifikater tilhørende Trustico-kunder. Digicert anså dette som et sikkerhetsbrudd, og svarte med å trekke tilbake nøklene.
Zane Lucas, sjefen i Trustico, nekter på sin side for at nøklene var kompromittert. De skal heller ikke ha informert Digicert om at nøklene var kompromittert.
«Vi skal ikke spekulere om årsaken, men vi vet at Trustico sendte oss et dokument med alle nøklene, så tilbaketrekking er nødvendig. Vi vet ikke hvordan eller hvorfor de hadde fått tak i nøklene til kundene sine», skriver administrerende direktør i Digicert på Twitter.
En teori er at de beholdt en egen kopi av nøklene de utstedte under signeringsprosessen, ifølge Bleeping Computer.
Uansett hva som har skjedd: Trustico fikk det som de ville, og nå må eierne av de 23 000 sertifikatene finne seg nye - og det kjapt.