Comodo heeft frauduleuze ssl-certificaten uitgegeven voor domeinen van Google, Yahoo, Mozilla en Microsoft, waardoor aanvallers de mogelijkheid hadden om zich als die bedrijven voor te doen. Mogelijk zitten Iraanse hackers achter de aanval.
Volgens Comodo, een bedrijf dat zich richt op computerveiligheid, hebben aanvallers op 15 maart toegang gekregen tot de account van een root-authority. Daarmee konden valse ssl-certificaten worden uitgevaardigd. Dat gebeurde negen keer, voor zeven verschillende domeinen. Het ging daarbij onder meer om Google.com, Gmail, de add-ons-website van Mozilla en de loginpagina's van Windows Live, Skype en Yahoo.
Comodo claimt dat de ssl-certificaten niet daadwerkelijk zijn gebruikt. De aanvallers hadden de ssl-certificaten echter eenvoudig kunnen gebruiken om man in the middle-aanvallen uit te voeren, waarbij de valse certificaten gebruikers ervan hadden kunnen overtuigen dat het om een legitieme website ging. Daarvoor was het noodzakelijk geweest om verkeer dat voor de desbetreffende domeinen was bestemd, door te leiden naar een andere server, bijvoorbeeld door dns cache poisoning.
Volgens Comodo was de aanval terug te leiden tot Iran. Een mogelijke verklaring is dat de Iraanse overheid de certificaten wilde gebruiken om toegang te krijgen tot e-mailaccounts van zijn bevolking. De overheid zou waarschijnlijk eenvoudig toegang kunnen krijgen tot de dns-servers van de Iraanse internetproviders, waarna verkeer naar een Iraanse overheidssite kan worden omgeleid.
Comodo stelt dat de certificaten zijn ingetrokken en Mozilla, Google en Microsoft hebben aangekondigd de certificaten in hun browsers te zullen blokkeren. Tor-ontwikkelaar Jacob Appelbaum wijst er echter op dat het proces van het intrekken van certificaten niet waterdicht is.
Het is niet de eerste keer dat Comodo valse ssl-certificaten uitgeeft. In december 2008 werd al eens een vals certificaat voor Mozilla.com uitgevaardigd door een Comodo-reseller. In 2005 gebeurde iets vergelijkbaars, waarbij onduidelijk is om welke domeinen het ging.