Holenderska firma wydająca cyfrowe certyfikaty do uwierzytelniania stron www poinformowała, że Google i kilkadziesiąt innych serwisów stało się celem przestępców.

DigiNotar wydaje certyfikaty SSL (Secure Sockets Layer) i EVSSL (Extended Validation SSL), które - rozpoznawane przez przeglądarki internetowe - gwarantują, że użytkownicy nie odwiedzają fałszywych stron www, udających legalne. Firma jest urzędem CA (Certificate Authority), i jako taka sprzedaje cyfrowe certyfikaty do legitymizacji serwisów. Napastnicy wykorzystali ją do wystawienia m.in. certyfikatu dla domeny google.com.

Google twierdzi, że fałszywy certyfikat został użyty w Iranie przeciwko tamtejszym internautom, i uspokaja, że zabezpieczenia przeglądarki Chrome wykrywają fałszywy certyfikat i jej użytkownik jest ostrzegany.

DigiNotar, dział firmy związanej z bezpieczeństwem Vasco Data Security International, w wydanym w poniedziałek oświadczeniu stwierdził, że audyt przeprowadzony 19 lipca wykrył przestępcze użycie firmowej infrastruktury do stworzenia fałszywych certyfikatów. Większość z nich została odwołana po tym odkryciu. Jednak - jak wykrył holenderski CERT (Computer Emergency Response Team) - wydany 10 lipca certyfikat dla google.com nie został wtedy odwołany. Przedstawiciel DigiNotar poinformował, że ostatecznie nastąpiło to w ten poniedziałek.

Nie wiadomo jeszcze, jak napastnicy przełamali zabezpieczenia infrastruktury DigiNotar i jak długo mieli do niej dostęp - trwa w tej sprawie dochodzenie, którego rezultaty mają być znane do końca tego tygodnia. Na razie wstrzymano sprzedaż certyfikatów holenderskiego CA.

Google, Mozilla i Microsoft odwołały (lub są w trakcie takiego działania) ważność certyfikatów DigiNotar. Oznacza to, że internauci odwiedzający strony www z legalnymi certyfikatami tego CA najprawdopodobniej będą ostrzegani, że serwis nie jest zaufany. DigiNotar zawiadamia o tym swoich klientów i stara się znaleźć rozwiązanie tej trudnej dla niego sytuacji.

Źródło: http://www.networld.pl/news/374446/Google.jedna.z.ofiar.falszerzy.certyfikatow.SSL.html