Die Ausgabe von Secure-Socket-Layer-Zertifikaten (SSL) hat die Zertifizierungsstelle (Certificate Authority, CA) der zum niederländischen Telekommunikationskonzern KPN gehörenden Tochter KPN Corporate Market gestoppt. Der Grund dafür ist, Hacker haben die Sicherheitsmechanismen überwunden und einen der Server kompromittiert. Angesichts der vergangenen Einbrüche bei Zertifikatsherausgebern wurden im Rahmen einer gründlichen Überprüfung Programme entdeckt, die für DDOS-Angriffe auf andere Rechner dienen. Die gefundenen Spuren deuten darauf hin, dass bereits vor vier Jahren der Einbruch bei KPN erfolgte und seitdem unentdeckt blieb.

Das bisher ausgegebene Zertifikate kompromittiert wurden, hält KPN für unwahrscheinlich, kann es aber auch nicht ausschließen. Dennoch sollen sie vorerst ihre Gültigkeit behalten. Der Telekommunikationsanbieter hat vorsorglich die Webserver ausgetauscht. Ausserdem will KPN keine neuen SSL-Zertifikate ausgeben, bis der Einbruch restlos aufgeklärt ist.

Microsoft und Mozilla haben am vergangenen Donnerstag in einem ähnlichen Fall allen Zertifikaten der malayischen CA Digicert das Vertrauen entzogen. Von dieser CA waren 22 Zertifikate aufgetaucht, die nur einen schwachen 512-Bit-Schlüssel verwendeten und denen notwendige Zertifikatserweiterungen und Widerrufinformationen fehlten.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE