Detta är den tredje notisen på mindre än ett halvår som vi på
Certezza lägger ut på nätet som handlar om en lyckad attack mot en
certifikatsutfärdare. Denna gång är det inte någon liten utfärdare,
utan en stor holländsk aktör som
- Ägs av Vasco
- Användes av den holländska staten för att ge ut
organisationscertifikat
- Var certifierade att ge ut kvalificerade certifikat enligt den
holländska lagen om elektroniska signaturer (jämför med den svenska
lagen (2000:832) om kvalificerade elektroniska signaturer)
- Hade rot-certifikat certifierade enligt Webtrust för spridning
i mjukvarutillverkarnas certifikatslager
De som attackerade DigiNotar gav ut minst 500 certifikat till
sig själva. Det är ännu oklart exakt hur många och till vilka
domäner; säkerhetsföretagen som analyserar attacken har funnit att
många certifikat givits ut utan att det kan följas i loggarna.
Exempel på certifikat som givits ut är *.google.com,
*.microsoft.com och www.facebook.com. Man har också
passat på att utfärda certifikat som sedan kan användas som
utfärdar-certifikat.
Mjukvaruföretagen som tagit med DigiNotar i sina
certifikatslistor (trust stores) har haft bråda dagar att skicka ut
uppdateringar för att spärra att programmen litar på certifikat
utgivna av DigiNotar. Det har gått så långt att rot-certifikaten
för utfärdaren nu har lagts på "svarta listan". Troligen kommer
företaget aldrig mer kunna sälja certifikat baserade på den PKI man
byggt upp, utan man måste göra allt från början igen. Detta visar
hur skör tilliten är när något går snett och att man vid bygge av
ett PKI har säkerheten som främsta mål. Att använda HSM:er som
nyckelförvaring är nog det minsta man kan kräva.
Mer information finns att läsa i
http://www.diginotar.nl/Portals/7/Persberichten/Operation%20Black%20Tulip%20v1.0a.pdf
En sak till!
I skrivande stund har även GlobalSign sagt sig utreda ett
påstått intrång. Under tiden som deras utredning pågår så ges inga
nya certifikat ut. Detta enligt en pressrelease företaget släppte
den 6/9 med uppdatering 7/9:
http://www.globalsign.com/company/press/090611-security-response.html
