Sertifikat-innbruddet holdt skjult i fem uker

Google.com-sertifikatet langt fra det eneste som ble forfalsket.

Eierselskapet av nederlandske DigiNotar, som denne uken har blitt verdenskjent etter å ha utstedt et falsk SSL-sertifikat for google.com til uvedkommende, kom i går med en pressemelding om hendelsen.

I pressemeldingen skriver Vasco Data Security International at utstedelsen av google.com-sertifikatet skyldes et innbrudd i selskapets CA-infrastruktur (Certificate Authority). Selskapet oppdaget innbruddet den 19. juli i år. Innen da skal inntrengerne ha rukket å utstede sertifikater til en rekke domener, ikke bare google.com.

Ifølge pressemeldingen skal DigiNotar ha handler i henhold til alle relevante regler og prosedyrer, etter at innbruddet ble oppdaget. Dette inkluderte opphevelse av alle de falske sertifikatene, noe som skal ha blitt bekreftet av en ekstern sikkerhetsrevisjon.

Men ifølge Vasco skal ett sertifikat ha unngått å bli tilbakekalt i den første runden, nemlig google.com-sertifikatet. Opphevelsen skal først ha skjedd etter at DigiNotar ble varslet av nederlandske Govcert.

Selskapet har midlertidig stoppet salget av SSL- og EVSSL-sertifikater, en naturlig følge av at de fleste nettlesere nå avviser sertifikater utstedt av selskapet. Selskapet forsøker nå å finne en løsning for de eksisterende kundene. En ikke komplett liste over de domener som nå har fått ugyldiggjort sine sertifikater, finnes her.

Sikkerhetseksperten Mikko Hypponen i F-Secure er ikke så rent lite kritisk til DigiNotars håndtering av innbruddet, noe som går klart fram av to twittermeldinger.

– I fem uker har DigiNotar forsøkt å skjule det faktum at de ble hacket. De vil fortsatt ikke fortelle deg hvilke domener de falske sertifikatene utpekte, skriver han. Han gjetter samtidig på at Skype, Hotmail, Twitter og kanskje Hushmail er blant tjenestene som ble berørt.

I en tredje twittermelding skriver Hypponen at 247 sertifikater ble fjernet fra Google Chrome i går, noe han mener kan si noe om hvor mange falske sertifikater som har blitt utstedt.

I pressemeldingen virker Vasco mer opptatt av å berolige aksjonærene enn å beklage hendelsen. Blant annet antar selskapet at hendelsen ikke vil ha stor betydning for inntektene til DigiNotar, siden denne formen for sertifikatutstedelse bare utgjør en mindre del av virksomheten. I de første seks månedene av 2011 skal selskapet ha solgt SSL- og EVSSL-sertifikater for under 100 000 euro.

    Les også:

Til toppen