Huijarit saivat Googlen SSL-varmenteen

Hollantilainen DigiNotar yritys on myöntänyt Googlen osoitteet varmistavan SSL-varmenteen väärälle taholle. Vääriin käsiin joutunut SSL-sertifikaatti aiheuttaa tietoturvariskin, kun huijarit pystyvät esiintymään virallisena Googlen palveluna ilman selaimen antamaa varoitusta huijaussivustosta sekä kuuntelemaan myös salattua liikennettä palveluissa.

Myönnetty varmenne koskee kaikkia google.com-loppuisia osoitteita eli esimerkiksi Gmail-sähköpostipalvelua. Väärennetyn sertifikaatin myöntänyt hollantilainen DigiNotar on poistanut varmenteen järjestelmästään, mutta osa selaimista ei silti tarkista myönnetyn sertifikaatin nykyistä tilaa. Yhtiö ei ole kertonut miten varmenne joutui vääriin käsiin.

Luottamusketjuun perustuvaa varmennejärjestelmää on viime aikoina kritisoitu epävarmaksi. Samantyyppinen vuoto sattui viime keväänä, kun murtautuja myönsi itselleen useita tärkeitä varmenteita netin suurimpien sivustojen kuten Googlen, Yahoon ja Microsoftin nimiin.

Varmennusjärjestelmän ongelmana pidetään esimerkiksi niitä hallinnoivien yritysten määrän nopeaa kasvua. Varmenteita myöntää maailmanlaajuisesti jo yli 650 yritystä, joiden turvajärjestelyt ja halu noudattaa tiukkoja sääntöjä vaihtelevat. Lisäksi yritysten myöntämistä sertifikaateista ei ole olemassa julkisia listoja tai muita tarkempia tietoja.

• tietoturva
• Google