A Comodo visszavonta a tanúsítványokat, de - érdekes módon - értesítette az összes nagy böngészőt az incidensről, akik a visszavonás mellett biztonsági frissítéseket bocsátotta ki, miszerint az adott sorozatszámú tanúsítványokat el kell utasítani. Ez különös, mert ha valaki gondosan ellenőriz egy tanúsítványt, akkor azt is megvizsgálja, hogy nem vonták-e vissza. Sajnos sok böngésző nem, vagy nem elég alaposan vizsgálja a visszavonási állapotot, illetve léteznek bizonyos ismert támadások, amelyekkel ki lehet cselezni sok böngésző gyenge visszavonás-ellenőrzését. Számomra az, hogy a böngészők egy-egy tanúsítvány miatt biztonsági frissítéseket jelentettek meg, azt jelenti, hogy szerintük sem ér sokat az, amit visszavonás-ellenőrzés címen végeznek.

A böngészők egy része nyílt forráskódú, és ott (a Firefox és a Chromium esetén) kutatók (Jacob Appelbaum) kiszúrták ezt a kód módosítást, és kinyomozták, hogy mi történt. Az EFF SSL Observatory projekt a közelmúltban feltérképezte a világban működő hitelesítés szolgáltatókat, az ő eredményeik alapján keresték meg, hogy kinek a visszavonási listáján vannak az adott sorozatszámú tanúsítványok. Felvették a kapcsolatot a Mozillával és a megegyezésük értelmében tegnapelőtt hozták nyilvánosságra az esetet.

A közelmúltban már volt egy botárny a Comodo-val kapcsolatban, akkor az derült ki, hogy egy regisztrációs egysége (egy külső szervezet) nem végzi el a szükséges ellenőrzéseket. A Comodo a Verisign után második a webszerver-tanúsítvány piacon, botárny a Comodo-val kapcsolatban folytat, de láthatóan néha követ el szakmai hibákat. A napokban ettől volt hangos a PKI-közvélemény.

Ez az én személyes blogom, amit benne írok, az az én saját, személyes véleményem. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.