Предполагается, что подобное стало возможным в результате компрометации центра сертификации Comodo (CA). Используя данные сертификаты злоумышленники могут сформировать поддельный сайт, который будет неотличим от настоящего и будет содержать не вызывающий подозрение SSL-сертификат. Перенаправить пользователя на подобные сайты можно организовать используя, например, атаки man-in-middle или отравление DNS-кэша. Подробности случившегося пока не сообщаются, возможно сертификаты получены через официальные каналы обманным путем, используя методы социальной инженерии. В худшем случае данный инцидент может поставить под угрозу сам принцип организации иерархии удостоверяющих центров.

Дополнение: Компания Comodo, спустя восемь дней с момента обнаружения проблемы, опубликовала заявление в котором обобщила суть произошедшего инцидента. Был взломан один из пользовательских аккаунтов в регистрирующем центре (RA, Registration Authority), через который злоумышленники сгенерировали 9 обманных сертификатов. Инфраструктура удостоверяющего центра и первичные сертификаты, хранимые в HSM-модулях (Hardware Security Modules), не были скомпрометированы. Сертификаты были выписаны для следующих сайтов: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com, а также сертификат глобального доверия (global trustee). Все выписанные обманным путем сертификаты были сразу отозваны и занесены в черные списки web-браузеров.

Взломанный аккаунт заблокирован и в настоящее время ведется работа по выяснению причин взлома, успешность выяснения личности злоумышленника маловероятна - атака была произведена из Иранского блока IP-адресов. Уже зафиксирован один факт использования обманного сертификата (login.yahoo.com) для создания поддельного сайта (сайт был создан в Иране и почти сразу закрыт, что породило волну домыслов о причастности иранских спецслужб, желающих отслеживать активность оппозиционных групп).

В связи с инцидентом критике подверглась используемая в настоящее время методика отзыва сертификатов, базирующейся на оценке состояния списка отозванных сертификатов (CRL) или проверке статуса конкретных сертификатов с помощью протокола OCSP. Данные проверки выполняются путем обращения к специальному online-сервису, поддерживаемому каждым центром сертификации. Основная проблема связана с тем, что в случае невозможности осуществить проверочный запрос, браузеры не в состоянии определить отозван сертификат или нет, считая сертификат валидным.

В ситуации когда злоумышленник в состоянии вклинится в трафик жертвы и подменить содержимое сайта, он с тем же успехом может блокировать проверочные запросы к CRL. Более того, такой инструмент перехвата и подмены SSL-трафика как sslstrip уже включает в себя поддержку подобного рода атак. Поэтому, в ситуации появления обманных SSL-сертификатов, производители браузеров вынуждены обновлять локальный черный список. В качестве одного из вариантов решения проблемы называется создание производителями браузеров собственных кэширующих OCSP-серверов, способных выполнить проверку в случае недоступности OCSP-сервера удостоверяющего центра, а также пересмотр подхода к выводу предупреждений в случае проблем с выполнением проверки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=30010