Certificate Authority Trustwave heeft een certificaat aan een bedrijf uitgegeven waarmee het voor elke willekeurige server geldige certificaten kon aanmaken. Hiermee kon het bedrijf versleuteld verkeer van het personeel afluisteren, als die bijvoorbeeld Google en Hotmail gebruikten. Het certificaat in kwestie is inmiddels ingetrokken en Trustwave zegt dit soort certificaten niet meer in de toekomst te zullen uitgeven.
Volgens de certificaatuitgever werd het certificaat in een data loss prevention (DLP) systeem gebruikt, dat het lekken van vertrouwelijke bedrijfsgegevens moet voorkomen. Het DLP systeem plaatste zichzelf tussen het personeel en opgevraagde diensten en kon via het valse certificaat het versleutelde verkeer ontsleutelen.
Het bedrijf dat de valse certificaten genereerde bewaarde die, samen met de geheime CA sleutel, in een hardware security module (HSM). "Dit betekent dat zodra de vertrouwde, ondergeschikte root in het apparaat was geplaatst, kon het er niet meer worden uitgehaald", aldus Trustwave.
Deze posting is gelocked. Reageren is niet meer mogelijk.