DigiNotar, ein holländischer Aussteller von digitalen SSL- und EVSSL-Zertifikaten, muss nun Insolvenz anmelden. Durch mangelnde Sicherheitsvorkehrungen ist es Online-Einbrechern gelungen, gefälschte Zertifikate auszustellen. Laut Aussagen der Sicherheitsfirma Fox-IT ergab die Überprüfung des Vorfalls, dass es „viel schlimmer“ war, als anfangs gedacht. Auf kritischen Servern war Malware installiert, die von Standard-Antiviren-Programmen aufgespürt hätte werden können. Der Zugriff auf die Zertifikatsserver – obwohl physisch hervorragend in abstrahlsicheren Räumen gesichert – war über das Internet über das Management-LAN möglich. Alle Server waren über die gleiche Benutzer/Passwort-Kombination administrierbar. Das Passwort war einfach und durch einen Brute-Force-Angriff zu erraten.

DigiNotar ist eine Tochter der VASCO Data Security International. Inwieweit das „Data Security“ ernst gemeint ist, darf spekuliert werden.

Mehr zu dem Vorfall: Gefälschtes Google-SSL-Zertifikat im Iran entdeckt

Artikel von net-security.org, 20.11.2011: DigiNotar files for bankruptcy