Falsche Zertifikate für Google und andere - ist SSL tot?
Aus aktuellem Anlass heute ein anderes als das angekündigte Thema:
Der niederländische Zertifizierungs-Dienstleister (Certificate
Authority, CA) DigiNotar hat SSL- und
Extended Validation SSL (EVSSL)-
Zertifikate für mehrere Domains ausgestellt, die nicht vom
eigentlichen Domain-Inhaber beantragt wurden. Darunter
am 10. Juli eins
für alle google.com-Domains (*.google.com), das damit sieben und nicht wie
oft behauptet fünf Wochen (die 28. bis 34.) unentdeckt blieb, bis es
am 28. August entdeckt
und
am 29. August zurückgezogen
wurde.
Herausgekommen
ist der Vorfall, als
Man-in-the-Middle-Angriffe,
insbesondere auf Nutzer von Google Mail, bekannt wurden. Es wird vermutet,
dass sich die iranische Regierung das Zertifikat beschaffte, um die
iranische Bevölkerung auszuspähen.