Oops! »[…] eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com« – schon bemerkenswert, dieser Crack bei DigiNotar. Vor allem ists bemerkenswert, wie so nach und nach die Informationen über den wirklichen Umfang rausgetröpfelt werden und hoffentlich für ein allgemeines Misstrauen sorgen. Sonst fängt noch jemand an, zu glauben, dass mit TLS verschlüsselte Internetverbindungen sicher, authentifiziert und unbelauschbar sind. (Sind sie nicht und sind sie nie gewesen, wer es nicht glaubt, schaue bitte mal in seinen Browsereinstellungen, welchen Zertifizierungsstellen ab Werk vorbehaltlos vertraut wird.) Zertifikate sind über dieses besondere Vertrauen gegenüber Regierungsstellungen hinaus vollkommen wertlos, was sich daran zeigt, dass das Gesamtsystem kompromittiert werden kann, wenn es gelingt, in eine einzige Klitsche einzudringen und sich nach Herzenslust welche auszustellen.

Nachtrag: Aufgrund des Vertrauensverlusts gegenüber DigiNotar und und um einen weiteren Missbrauch zu verhindern, habe die niederländische Regierung die Kontrolle über DigiNotar übernommen… aber glaube mal keiner, dass die niederländische Regierung kompromittierte Infrastrukturen abschaltet, indem sie die Zertifikate zurückzieht! Das würde ja zu Ausfällen führen, huch wie schrecklich. Wenn ich DigiNotar gehäckselt hätte, dann würde ich mir jetzt die Hände reiben und mich sehr darüber freuen, dass die von mir kompromittierten Systeme jetzt mit der scheinbaren Autorität eines staatlich kontrollierten Ladens laufen. Was für ein Fail!