En ny sag ryster tilliden til SSL-certifikater. Et af de firmaer der udsteder certifikater, Comodo, har tilsyneladende været udsat for et hacker-angreb. It-kriminelle har fået fat i ni certifikater til eksisterende websteder, herunder addons.mozilla.org.
Disse certifikater kan så bruges til at lokke brugerne ind på falske hjemmesider (med DNS-manipulation). Man kunne f.eks. oprette en kopi af addons.mozilla.org og forsyne den med det stjålne certifikat.
Dermed ser hjemmesiden ægte ud og eftersom den er udstyret med et rigtigt certifikat, kommer der heller ingen advarsler frem i browseren. Her kunne man så snyde brugeren til at installere add-ons med malware til Firefox.
Problemet er endnu mere akut når det gælder online-banking, hvor et stjålet server-certifikat kan misbruges af phishere til at lokke folk ind på en falsk kopi af netbanken.
De første informationer om sagen fremgår af en besked på Mozillas Security Blog og Tor Blog.
Browserfirmaerne er nu tvunget til at reagere. Normalt er det muligt at trække et kompromitteret certifikat tilbage og dermed gøre det ugyldigt, enten gennem spærreliste (CRL) eller en online-kontrol med Online Certificate Status Protocol (OCSP).
Men i praksis er det muligt at blokere browserens kontrol af certifikatet uden at brugeren er klar over det. Så denne sikkerheds-mekanisme fungerer ikke.
Derfor har Comodo nu kontaktet de forskellige browserfirmaer og sendt dem en liste med de pågældende certifikaters serienumre, som nu skal sortlistes direkte i browserens kode.
Google har allerede reageret med Chrome 10.0.648.151, og Mozilla har også indbygget denne blacklist i sin Firefox 4. Microsoft skulle være på vej med en Migitation Pack til Internet Explorer. Det fortæller Tor-udvikleren Jacob Appelbaum, som også skriver at en fjendtlig statsmagt menes at stå bag angrebet.
Men sagen peger på et grundlæggende problem med hele den aktuelle SSL-infrastruktur. Blind tillid til certifikater kan være farlig - også selvom udstederen virker troværdig.
Foruden addons.mozilla.org er der også stjålet certifikater for domæner som mail.google.com, www.google.com, login.live.com, login.yahoo.com og login.skype.com.
Flere spor i sagen peger mod Teheran, men det er ikke bekræftet at Iran står bag.
