Weiterer Angriff auf SSL-Zertifikatsaussteller
Der Angriff auf StartSSL, einer Firma die SSL-Zertifikate ausstellt, ist mittlerweile der fünfte der Art. Jedoch waren die Angreifer nur zum Teil erfolgreich. StartSSL hatte wichtige Sicherheitsvorkehrungen getroffen.
Anders als bei dem Cyber-Einbruch bei Comodo oder anderen Zertifikatsanbietern, verlief der Angriff auf StartSSL eher glimpflich. Die Cyber-Einbrecher hatten Zugriff auf Server von StartSSL, konnten jedoch keine eigenen SSL-Zertifikate ausstellen.
Bei dem Angriff bei Comodo ist den Hackern gelungen, gefälschte Zertifikate für www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com und Microsofts login.live.com auf dem Server zu erstellen. Comodo entdeckte diesen Einbruch und zog diese Zertifikate zurück. Es dauerte jedoch einige Tage, bis die Browser-Hersteller die Zertifikate in ihre Wiederrufliste aufgenommen hatten. Apple fiel hier mit seinem Browser Safari unrühmlich aus dem Rahmen. Während diesem Zeitraum konnten die Hacker eine gefälschte Webseite der Dienste erstellen und die Benutzer auf diese Webseite umleiten. Dann hätten sie die Zugangsdaten der Benutzerkonten gestohlen.
Die Cyber-Einbrecher waren nicht erfolgreich, weil der private Schlüssel nicht auf dem Server gespeichert war. Dieser ist nämlich nicht ans Internet angeschlossen, so der CEO von StartSSL.
Anmerkung: StartSSL hat richtig gehandelt. Das Auslagern entspricht ganz den Sicherheitsvorschriften. Sicherheit zahlt sich doch aus.
Artikel von eweek.com, 23.06.2011: Another Certificate Authority Compromised: No Fake SSL Certificates Issued