证书吊销事件概述

DigiCert公司因前经销商Trustico通过邮件泄露23,000张Symantec品牌SSL证书的私钥，被迫启动证书吊销流程。Trustico声称这些证书已遭泄露，但DigiCert要求提供证据后，Trustico首席执行官直接发送了私钥，导致密钥暴露给未授权方。

Trustico的争议行为

Trustico在2月初停止销售Symantec证书，并声称对Symantec系统的安全性失去信心，尽管所有证书现已由DigiCert的公钥基础设施管理。Trustico还承认其常规冷存储客户证书密钥，专家指出这可能违反CA/Browser Forum的基线要求。

行业问题与讨论

事件引发了对Trustico作为经销商或订阅者角色的质疑，以及主要证书机构与此类经销商合作的原因。SearchSecurity编辑在Risk & Repeat播客中探讨了SSL证书市场的实践问题、私钥管理漏洞和行业规范合规性。

影响与启示

该事件突显了SSL证书供应链中的安全风险，强调证书颁发机构和经销商需严格遵守安全协议，以维护数字信任基础设施的完整性。