[Artikeln är rättad 2011-07-06]
Certifikatsutfärdaren StartCom som säljer StartSSL, har blivit
utsatt för ett intrång. StartComs root-certifikat finns med bland
de som de flesta operativsystem och webbläsare litar på, vilket gör
att en sådan här attack är allvarlig. Risken med intrång mot
certifiaktsåterförsäljare är att certifikat då kan skapas till helt
fel mottagare och användas för att lura användare att de kommit
till en säker webbsida. Denna attack som skedde den 15/6,
misslyckade med att få ut något falskt certifikat.
Comodo utsattes i mars för en liknande attack, då förövarna
lyckades komma över certifikat till domännamnen login.live.com,
addons.mozilla.org, login.skype.com, login.yahoo.com,
mail.google.com samt www.google.com. Dessa certifikat kunde sedan
användas till att läggas på fejkade inloggningssidor och på så sätt
lura användare att av ge användarnamn och lösenord (phishing).
Certifikaten från mars är spärrade i de flesta stora leverantörers
certifikatslagringsytor (certificate store), t.ex. kan du hitta dem
i Microsofts certmgr.msc under "Untrusted Certificates".
