Mich wundert es nicht, jedoch die bislang fehlende Meldung hier.
► http://www.wilderssecurity.com/showthread.php?t=295617
► http://blog.mozilla.com/security/2011/…ssue-follow-up/
► https://blog.torproject.org/blog/detecting…owser-collusion
Die Meldung dazu
► http://www.heise.de/newsticker/mel…ar-1213999.html
SSL-GAU: Ein Angriff im Cyberwar?
Comodo hat weitere Informationen zu der Kompromittierung seiner Certificate Authority veröffentlicht,
bei der ein unbekannter Angreifer an SSL-Zertifikate für bereits bestehende Webseiten gelangt ist.
Zu den Domains gehören login.live.com, mail.google.com, http://www.google.com, login.yahoo.com,
login.skype.com, addons.mozilla.org sowie ein nicht näher bezeichneter "Global Trustee".Die Kompromittierung erfolgte den Ermittlungen zufolge über den Account eines Resellers, der
sogenannte Certificate Signing Request (CSR) prüft und an die Systeme von Comodo weiterreicht.
Ein CSR ist ein Antrag auf Signierung eines öffentlichen Schlüssels durch eine CA und wird heutzutage
per Weboberflache eingereicht. Der Eindringling gelangte an die Zugangsdaten des Resellers; konkrete
Angabe zum Reseller macht Comodo nicht. Es soll sich jedoch um einen Anbieter in Südeuropa handeln,
was sehr viel Interpretationsspielraum lässt.Mit den Zugangsdaten loggte sich der Unbekannte, dessen Spuren nach Teheran führen, ein und
erzeugte neun CSRs, wobei er für login.yahoo.com gleich drei einreichte. Laut Comodo lässt sich
allerdings nicht mehr nachvollziehen, ob er wirklich alle beantragten Zertifikate auch erhielt.
Comodo bestätigt nur, dass ein Zertifikat für login.yahoo.com bereits im Internet benutzt wurde.
Windows-Update - über den Dienst als auch manuell z beziehen
► http://support.microsoft.com/kb/2524375/de-DE
Direkter Import
Danke@Umbrella
Persönlich habe ich Comodo eh schon längst den Stecker hier gezogen und alle
möglichen Certs von denen unter
Extras > Einstellungen > Erweitert > Verschlüsselung > Zertifikate anzeigen > (anklicken) Vertrauen bearbeiten > [_]
abgewählt.
Es ist nicht erste Vorfall mit Comodo und wird aus meiner Sicht auch nicht der letzte bleiben.
Comodo hatte einst auch Certs für Malware und betrügerische Seiten ausgegeben.
Auch deswegens ind mir deren Produkte suspekt, weil dort die Standardeinstellung
für Certs deren Produkte natürlich als vertrauenswürdig eingestellt sind. Wohl bekomm's!
Dass ausgerechnet AMO mit auf der Liste steht, ist besondern tragisch, Mozilla wird da wohl jetzt
richtig nacharbeiten dürfen - war auch nicht der erste Zwischenfall.
Ergebnis bislang sind Firefox 3.5.18 und 3.6.16. Bei Opera soll "Hilfe > Updates" helfen, aber da kam nichts.