Falešné certifikáty kompromitovaly desítky webů včetně služeb Googlu

31. 8. 2011

Sdílet

DigiNotar, holandský vydavatel digitálních certifikátů používaných pro autentizaci webů, oznámil, že vinou narušení bezpečnosti jeho infrastruktury byly vydány falešné certifikáty pro weby desítek organizací včetně Googlu.

DigiNotar vydává certifikáty SSL (Secure Sockets Layer) a EVSSL (Extended Validation Secure Sockets Layer), které u webových prohlížečů potvrzují, že se lidé nepřihlásili na falešné weby, jež se snaží důvěryhodně působit jako ty originální.

DigiNotar tedy funguje jako takzvaná certifikační autorita (Certificate Authority, CA), tedy subjekt, který prodává certifikáty vlastníkům legitimních webů. Jak však uvedli představitelé firmy, DigiNotar vydal (respektive jej vydali útočníci, které napadli jeho síť) digitální certifikát pro doménu google.com, což je chyba, kterou mohou chytří útočníci využít ke kompromitaci elektronické pošty jiných uživatelů.

Google k tomu uvedl, že podvodný certifikát byl skutečně použit a jeho cílem byli uživatelé v Iránu, a to přesto, že browser Google Chrome byl schopen tento podvodný certifikát detekovat a uživatele varovat.

DigiNotar, jež je dceřinou společností firmy Vasco Data Security International, oznámila, že chybu nalezla už 19. července při auditu poté, co byla její infrastruktura napadena a následně posloužila k vydání onoho certifikátu. Jochem Binst, šéf komunikace firmy Vasco, ale nyní potvrdil, že útočníci vytvořili podvodné certifikáty pro další desítky webů.

ICTS24

Naprostá většina z nich prý byla hned po jejich objevení stornována. Avšak certifikát pro google.com, jež byl podvodně vydán už 10. července, byl stornován až nyní, konkrétně v pondělí 29. srpna.

Zatím není úplně jasné, jak útočníci kompromitovali certifikační infrastrukturu společnosti DigiNotar a jak dlouho měli k ní přístup. V současné době v ní probíhá forenzní audit. DigiNotar dočasně pozastavil prodej digitálních certifikátů, dokud nebude celá věc vyšetřena.