I forrige uke meldte digi.no om et tilfelle med kapring av digitale sertifikater til Iran. Ni falske sertifikater for tjenester fra Skype, Google, Microsoft, Yahoo og Mozilla kunne vært misbrukt til å etablere falske utgaver av disse tjenestene, avlytte samtaler, lynmeldinger og e-post, og skaffe seg ubemerket tilgang til brukeres kontoer og lagret informasjon.
De falske sertifikatene ble utdelt etter et datainnbrudd hos en klarert partner og «Registration Authority» (RA) betjent av sertifikatutstederen Comodo. Det skal nå være ordnet opp i denne risikosituasjonen.
Teknologisjef Robin Allen har frontet Comodo i nettdebatter i kjølvannet av denne hendelsen. I et innlegg på mozilla.dev.security.policy skriver han at ytterligere to RA-er er rammet av datainnbrudd. Han forsikrer at innbruddene ikke har ført til utstedelse av ytterligere falske sertifikater. Partnerne det gjelder er degradert. De som har begått innbruddene, har ikke kopiert eller hatt tilgang til noen av Comodos private krypteringsnøkler.
Allen innrømmer at en stor andel av Comodos RA-er – ni prosent – fram til i forrige uke ikke fulgte en anbefalt rutine for å sjekke at dem de utstedte sertifikater til, faktisk representerte domenene de oppga å trenge sertifikatene for.
Det er nå innført nye rutiner hos Comodo, som skal være innført for alle RA-er innen to uker. Hensikten med disse rutinene er å hindre RA-er fra å utstede falske sertifikater, selv i tilfeller der all virksomheten deres er kompromittert av et datainnbrudd.
Allen forteller ikke hvilke RA-er som har blitt kompromittert.
Ifølge et oppslag i Cnet var den ene av de to RA-ene Allen viser til, ikke rammet av datainnbrudd men av en programvarefeil i sine interne systemer. Kilden til dette er Comodo-gründer Melih Abdulhayohlu. Abdulhayohlu forteller videre at RA-en som ble rammet av datainnbrudd tidligere denne uken, holder til i Europa.