De Amerikaanse certificaatautoriteit DigiCert heeft besloten 23.000 certificaten in te trekken die toebehoren aan klanten van de reseller Trustico. Deze beslissing was het gevolg van het ontvangen van de bijbehorende privésleutels via een e-mail van Trustico.
DigiCert schrijft in een verklaring dat het ontvangen van de privésleutels betekende dat het intrekkingsproces volgens de regels van het CA/Browser Forum in gang gezet moest worden, omdat de veiligheid daarvan niet meer vaststaat. Dat betekent dat de certificaten binnen 24 uur teruggetrokken moeten worden. The Register schrijft dat het bedrijf vervolgens de getroffen klanten van Trustico, dat de certificaten had verkocht, een e-mail heeft gestuurd om ze hierover te informeren. Trustico zegt dat die e-mail nooit door DigiCert verstuurd had mogen worden.
Op een Mozilla-mailinglijst beschrijft Jeremy Rowley van DigiCert zijn kant van het verhaal en claimt dat Trustico begin februari DigiCert verzocht om 50.000 certificaten in te trekken. Dat deed DigiCert niet meteen, omdat het voor het bedrijf niet duidelijk was of een reseller dit wel kan doen in plaats van de klant. Trustico claimde vervolgens dat de certificaten niet langer veilig waren en dat ze daarom ingetrokken moesten worden, aldus Rowley. Toen DigiCert om bewijs vroeg, stuurde het bedrijf de bijbehorende privésleutels via e-mail. Dit betekende dat DigiCert geen andere keuze had dan de certificaten in te trekken.
Trustico heeft in een blogpost een eigen versie van de gebeurtenissen weergegeven. Daarin claimt het dat het niet meer geloofde in de veiligheid van de certificaten die het had afgenomen van Symantec, dat vorig jaar zijn certificatenonderdeel verkocht aan DigiCert. Daarom wilde het deze door DigiCert laten intrekken. In de blogpost maakt het eveneens melding van een e-mailwisseling, waarbij het uiteindelijk overging tot het versturen van de eerdergenoemde privésleutels.
Deze had het bedrijf in zijn bezit, omdat 'het de sleutels na het aanmaken ervan in cold storage opsloeg voor intrekkingsdoeleinden'. Verschillende beveiligingsexperts stellen dat het niet de bedoeling is dat iemand anders dan de certificaathouder, in dit geval de klanten van Trustico, toegang heeft tot de privésleutel. Dit zou neerkomen op een 'enorm beveiligingslek'. Door in het bezit te zijn van een privésleutel kan iemand zich immers voordoen als de eigenaar van het certificaat.
Volgens The Register speelt op de achtergrond dat Trustico deze maand besloot om geen Symantec-certificaten meer aan te bieden. Het zei dat de beslissing samenhangt met het punt dat Google zijn vertrouwen in deze certificaten in de komende maanden zal intrekken. Trustico zei daarom over te gaan naar Comodo-certificaten. The Register schrijft dat het erop lijkt dat websitehouders het slachtoffer zijn geworden van een 'territoriumstrijd' tussen DigiCert en Trustico.