Feralne certyfikaty zostały udostępnione w lipcu 2010 za pośrednictwem amerykańskiej firmy Entrust, licencjonowanego dostawcy certyfikatów SSL oraz S/MIME. To właśnie pracownicy tej firmy jako pierwsi zorientowali się, że wydane przez Digicert certyfikaty są niedostatecznie zabezpieczone - wykorzystują zbyt słaby 512-bitowy klucz i są pozbawione niezbędnych rozszerzeń. Entrust natychmiast rozpoczął wycofywanie ich z użytku i przekazał informację producentom przeglądarek, aby mogli usunąć to CA z list zaufanych centrów w swoich aplikacjach.

Przedstawiciele Digicert na razie nie rozmawiają z prasą na temat tego wydarzenia - na stronie firmy umieszczono jednak oświadczenie, z którego wynika, że ma ona wszelkie niezbędne licencje wymagane przez malezyjskie prawo.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Wiadomo już, że proces anulowania certyfikatów wydanych przez Entrust potrwa co najmniej do wtorku (8.11) - firma chce w ten sposób dać użytkownikom wadliwych certyfikatów czas na zastąpienie ich nowymi, spełniającymi wszystkie wymogi bezpieczeństwa.

Wszystkie zakwestionowane przez Entrust certyfikaty wydane zostały lokalnym instytucjom i firmom w Malezji, dlatego też problem dotyczy głównie użytkowników z tego kraju.

Produceni przeglądarek wolą jednak dmuchać na zimne - Mozilla zapowiedziała, że zamierza umieścić na czarnej liście Firefoksa wszystkie certyfikaty wydane przez Digicert (stosowna poprawka zostanie wprowadzona w Firefoksie 8 oraz 3.6.24). To samo zrobi Microsoft - firma planuje wkrótce udostępnić (via Windows Update) aktualizację dla przeglądarki Internet Explorer.

"Na razie nic nie wskazuje na to, że owe certyfikaty zostały wykorzystane do jakichkolwiek niebezpiecznych działań. Ale słabe klucze stanowią poważny problem, ponieważ są podatne na złamanie i to może zostać wykorzystane przez przestępców" - komentuje Jerry Bryant z Microsoftu.

Warto przypomnieć, że to nie pierwszy głośny przypadek zagrożenia związanego z certyfikatami - kilka miesięcy temu okazało się, że przestępcy włamali się do holenderskiej firmy DigiNotar i wykradli z niej kilkaset certyfikatów SSL, które zostały później wykorzystane m.in. do atakowania użytkowników Gmaila.