Zwei weitere Comodo-SSL-Registrare gehackt

In einem News-Posting gestand Robin Alden, CTO der Firma Comodo ein, dass zwei weitere Registrierungsstellen kompromittiert wurden. Bereits letzte Woche stellte sich heraus, dass sich Unbekannte über einen Comodo-Registrar gültige Zertifikate unter anderem für Microsoft, Mozilla, Yahoo, Skype und Google ausgestellt hatten.

Aufgabe der Registrierungsstelle ist es, die Echtheit der im Zertifikatsantrag aufgeführten Informationen zu überprüfen. Danach kann sie diesen Antrag in der Regel weitgehend automatisiert von der Zertifizierungstelle – in diesem Fall also von Comodo unterschreiben lassen. Mit dem italienischen InstantSSL wurde eine solche Registrierungsstelle angeblich von einem einzelnen Iraner gehackt, der sich dann die passenden Zertifikate ausstellen ließ. Comodo hat die Zertifikate mittlerweile gesperrt.

InstantSSL wurde kurzeitig geschlossen, ist aber mittlerweile wieder online. Bei den weitergehenden Untersuchungen stellte sich jedoch heraus, dass offenbar zwei weitere Registrierungstellen kompromittiert wurden. Um welche es sich handelt und ob die Einbrüche in Zusammenhang stehen, erklärte Alden nicht. Es seien jedoch keine weiteren Zertifikate gefälscht worden, beruhigt er vorsorglich.

Interessant ist Aldens die Erklärung, wie es zu den Vorfällen kommen konnte. Der Chief Technology Officer gesteht freimütig ein, dass man die Möglichkeit, dass eine solche Registrierungsstelle Opfer eines gezielten Angriffs werden könnte, bislang schlicht nicht in Betracht gezogen hätte:

"... but what we had not done was adequately consider the new (to us) threat model of the RA being the subject of a targeted attack and entirely compromised."

Angesichts der Tatsache, dass eine solche Registrierungsstelle Zertifikate ausstellen kann, die jeder Browser für alle wichtigen, gesicherten Internet-Dienste einschließlich des Online-Bankings akzeptiert, verwundert diese Naivität dann doch. (ju)