DigiCert отзовет 23 тысячи SSL-сертификатов, выданных Trustico

DigiCert отзовет 23 тысячи SSL-сертификатов, выданных Trustico

DigiCert отзовет 23 тысячи SSL-сертификатов, выданных Trustico

Как сообщила сегодня компания DigiCert, в течение суток более 23 тысяч SSL-сертификатов, полученных через реселлера Trustico, будут отозваны. Причиной этому послужил недавний инцидент с компрометацией сертификатов.

В начале прошлого месяца представители Trustico обратились к DigiCert с просьбой отозвать 50 тысяч SSL-сертификатов, ссылаясь на то, что все сертификаты скомпрометированы, однако детали не были раскрыты компанией.

Чуть позже, в середине февраля, Trustico объявила о разрыве контракта c DigiCert и заключения партнерства с другим центром сертификации от Comodo.

В конце того же месяца представители Trustico направили DigiCert приватные ключи, принадлежащие 23 тысячам сертификатов. Эти ключи ни в коем случае не должны были попасть в руки третьих сторон, а центры сертификации обычно удаляют их после передачи клиенту, соответственно, такой шаг Trustico вынудил DigiCert отозвать все 23 тысячи сертификатов.

Оставшиеся 27 тысяч сертификатов на данный момент действительны, так как по ним не было предоставлено доказательств компрометации (не были предоставлены закрытые ключи).

Trustico отметила, что ей не понравилось принятое DigiCert решение напрямую направить уведомления клиентам о скорой блокировке сертификатов, так как эти уведомления были отправлены без согласования и в обход посредника, коим и является Trustico.

Из-за того, то Trustico не раскрывает детали утечки, остается только гадать, как именно произошла компрометация закрытых ключей. Есть мнение, что это связано с неправильной работой центра сертификации Symantec, который не так давно перешел под крыло DigiCert.

Напомним, что вчера также стало известно об аннулировании сертификатов Palo Alto, ранее выданных ФСТЭК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru