Certificaatautoriteit Comodo heeft acht SSL-certificaten uitgegeven die niet zijn toegestaan, wat volgens het bedrijf door een bug in het uitgiftesysteem komt. Rob Stradling van Comodo maakte het incident gisteren op de mailinglist van het Certification Authority Browser Forum bekend. Dit is een consortium van certificaatautoriteiten en ontwikkelaars van browsers en besturingssystemen.
Het Forum stelt richtlijnen op voor de uitgifte van SSL-certificaten. Eén van die regels, die in 2012 al werd opgesteld, stelt dat certificaatautoriteiten geen certificaten mogen uitgeven met een verloopdatum van na 1 november 2015 waarin een gereserveerd IP-adres of interne servernaam is opgenomen. Een aanvaller zou met deze certificaten man-in-the-middle-aanvallen op gesloten netwerken kunnen uitvoeren, zoals openbare of zakelijke wifi-netwerken. Iets dat Comodo zelf vorig jaar nog naar klanten toe communiceerde.
Om ervoor te zorgen dat Comodo zich aan de regels van het Forum houdt voert het bedrijf regelmatig controles uit. Daarbij werden op 5 november acht certificaten gevonden waarvan de verloopdatum na 1 november ligt. In het uitgiftesysteem van certificaten had Comodo eerst een "notAfter date" controle opgenomen, maar deze beperking werd door een aanpassing aan de code op 30 oktober ongedaan gemaakt. Nadat het probleem was ontdekt heeft Comodo die verholpen en de inmiddels uitgegeven certificaten ingetrokken. Daarnaast zal het bedrijf maatregelen nemen om herhaling te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.