Comodo, ein Herausgeber von SSL-Zertifikaten, wurde Berichten zufolge kompromittiert. Der Tor-Entwickler Jacob Appelbaum und die Mozilla Foundation meldeten das in ihren Weblogs. Unbekannte sollen an insgesamt neun Zertifikate existierender Webseiten gelangt sein, darunter  "addons.mozilla.org" aber auch "mail.googlecom", "www.google.com" und "login.yahoo.com" sowie "login.skype.com".

Comodo bestätigte die Kompromittierung seiner Certificate Authority (CA) mittlerweile und erklärt, dass die Spur des Angreifers in den Iran führe.

Reseller attackiert

Laut Comodo führten die Ermittlungen zum Account eines Resellers . Aufgabe des Resellers  ist es die sogenannte Certificate Signing Request (CSR) zu prüfen und an die Systeme von Comodo weiterzuleiten. Bei einer CSR handelt es sich um einen Antrag auf Signierung eines öffentlichen Schlüssel durch die CA, welcher über eine Weboberfläche eingereicht wird.

Den Angaben Comodos zufolge gelangte der Angreifer an die Zugangsdaten des Resellers aus Südeuropa und loggte sich mit diesen ein um neun CSR zu stellen. Für "login.yahoo.com" reichte dieser drei Anfragen ein, mindestens eine davon wurde positiv beantwortet, da ein entsprechendes Zertifikat nachweislich benutzt wurde. 

Lücke (nicht) geschlossen

Die Lücke habe Comodo eigenen Angaben zufolge nach wenigen Stunden entdeckt und folglich die ausgestellten Zertifikate zurückgezogen. Damit kann aber keine Entwarnung gegeben werden. Zwar überprüfen Internetbrowser über die Abfrage von Sperrlisten (CRL) oder das Online Certificate Status Protocol (OSCP) ob ein Zertifikat bereits zurückgezogen wurde, doch arbeitet diese Technik nicht immer zuverlässig.

Um sicher zu gehen setzte sich Comodo mit den Browser-Entwicklern in Verbindung und forderte diese auf die Seriennummern der fälschlich ausgestellten Zertifikate auf eine statische Blacklist zu setzen. Bei Google und Mozilla, inklusive Firefox 4, ist das bereits erfolgt, Microsoft hat beim Internet Explorer am Mittwoch ebenfalls nachgebessert. Stellungnahmen von Apple und Opera stehen weiter aus.

Comodo erklärt ausdrücklich, dass das eigene System nicht kompromittiert worden sei, private Schlüssel aus den Hardware-Security-Modulen (HSM) seien nicht ausgelesen worden.

Iran als Angreifer vermutet

Der Herausgeber von SSL-Zertifikaten meint, dass die iranische Regierung hinter den Angriffen stecke. So wolle man vermutlich die Kommunikationsinfrastruktur der Opposition ausspähen. Zu dem Schluss gelangt Comodo durch die Tatsache, dass die Regierung die Domain-Name-Server kontrolliere, welche den Angriff erst möglich gemacht haben sollen. Ebenso verdächtig: der Angriff zielte vorrangig auf Email- und VoIP-Dienste sowie soziale Netzwerke ab. (red)