Fragen? Antworten! Siehe auch: Alternativlos
DigiNotar geht einen anderen Weg. Hier ist ihre Presseerklärung. Und das ist Comedy Gold, sage ich euch! Nicht nur behaupten sie, die Zertifikate gar nicht ausgestellt zu haben, nein, sie pullen die "wir wurden gehackt!1!!"-Karte. Nun ist die Ansage, als CA, dass man gehackt werden kann, natürlich der ultimative Totalschaden. Das ist wie bei RSAs Tokens. Niemand bei Verstand kauft jemals wieder bei einem solchen Anbieter. Die ehrenhafte Variante wäre, gleich direkt ganz zuzumachen. Aber soviel Arsch in der Hose hat halt niemand.
Inhaltlich ist diese Presseerklärung der Lacher. Sie sagen erst, dass sie im Juli gemerkt haben, dass sie ein Zertifikat für google.com rausgerückt haben. Sie haben reagiert, indem sie die Zertifikate zurückgezogen haben. Das ist ja an sich ein Kapitel an sich, SSL-Zertifikate-Zurückziehen. Aus meiner Sicht ist das zum Gutteil Augenwischerei.
Nächster Schritt: ein externer Audit hat bestätigt, dass sie alle Zertifikate erwischt haben. Und dann taucht noch ein Zertifikat auf. Mit anderen Worten: ihr Audit war für den Arsch. Man kann sich also nicht auf ihre Security verlassen und auch nicht auf ihren externen Audit-Dienstleister.
Spätestens hier ist Totalschaden. Was tun sie als nächstes? Sie gestikulieren wild in der Luft herum und behaupten, der Rest ihrer Operationen sei aber nach wie vor voll zuverlässig und sicher. Und was machen die sonst so? "PKIoverheid". PKI für die Öffentlichkeit. Die LANDES-PKI FÜR HOLLAND. m(