De reden dat Microsoft deze week een SSL-certificaat voor Windows Live ongeldig verklaarde kwam omdat een Finse systeembeheerder die via e-mail had opgevraagd en ook gekregen. Het ingetrokken certificaat was voor het domein Live.fi uitgegeven en maakte het mogelijk om phishing- en Man-in-the-Middle-aanvallen uit te voeren. Tegenover het Finse Tivi laat de man nu weten hoe hij het certificaat in handen kreeg.
Toen Microsoft het domein Live.fi lanceerde bleek het mogelijk om verschillende aliassen te registreren die normaliter voor beheerszaken worden gebruikt. De Finse systeembeheerder besloot naar eigen zeggen "voor de grap" het alias hostmaster@live.fi voor zijn eigen e-mailadres aan te maken, wat tot zijn verbazing ook lukte. Via deze alias kon hij vervolgens proberen om het certificaat voor het domein aan te vragen. SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van het onterecht uitgegeven certificaat voor Live.fi was dit door de Certificaat Autoriteit Comodo uitgegeven.
Voordat een SSL-certificaat voor een domein kan worden aangevraagd moet de vragende partij bewijzen dat hij of zij de eigenaar van het domein is. Hiervoor blijkt Comodo een bevestigingsmail te sturen naar een e-mailadres zoals admin@, administrator@, postmaster@, hostmaster@ of webmaster@ de domeinnaam waarvoor het certificaat wordt opgevraagd.
De Finse systeembeheerder besloot via de alias hostmaster@live.fi het certificaat voor het domein Live.fi aan te vragen en ontving inderdaad de bevestigingsmail in zijn inbox. De man zou hierna de Finse telecomwaakhond voor het probleem hebben gewaarschuwd, maar kreeg geen hulp. Vervolgens waarschuwde hij Microsoft, maar ook daar bleef het stil, totdat Microsoft deze week besloot om het onterecht uitgegeven certificaat in te trekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.