Falešné certifikáty kompromitovaly weby Google a desítky dalších

Podvodníkům se podařilo vydat desítky falešných certifikátů, které byly použity na webech mnoha firem.

Holandský vydavatel digitálních certifikátů, firma DigiNotar, oznámila, že díky chybě v zabezpečení její síťové infrastruktury došlo k vydání falešných certifikátů pro weby několika desítek firem. Mezi "oběťmi" je například i Google. Firma DigiNotar patří mezi tzv. certifikační autority, může tedy vystavovat a prodávat certifikáty vlastníkům legitimních webů. Díky certifikátu pak lze s webovými stránkami komunikovat šifrovaně a navíc uživatel dostává informaci o tom, že stránka, kterou navštívil, je zcela legitimní.

DigiNotar tedy vydal několik desítek falešných certifikátů - přesněji certifikáty vydali útočníci, chudák DigiNotar o tom zpočátku samozřejmě vůbec nevěděl :)) Vydán tak byl například i certifikát pro doménu google.com, což je chyba, kterou šikovní útočníci mohli lehce zneužít. Google k incidentu uvádí, že falešný certifikát byl skutečně použit a že cílem byli hlavně uživatelé v Íránu (už zase Írán??) a to i přesto, že prohlížeč Google Chrome byl schopen podvodný certifikát zjistit a uživatele na něj upozornit.

Firma DigiNotar oznámila, že chybu nalezla už 19.července při prováděném auditu. Drtivá většina falešných certifikátů byla stažena z oběhu ihned po jejich nalezení. S podivem tedy je, že například Google falešný certifikát (vystavený již 10. Července) používal až do pondělka 29. srpna.