03.02 // Известие о взломе VeriSign спустя полгода после происшествия
После[link1] серии[link2] компрометаций[link3] удостоверяющих центров X.509 стало известно, что подобная участь не миновала и гигант VeriSign.
Представители VeriSign (которая — ну так, чтоб просто представлять размеры возможного бедствия — до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec, владельца УЦ VeriSign, поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить — иначе история будет значительно веселее, чем в случае c голландским CA[link2].
Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.
Источник: http://bugtraq.ru/rsn/archive/2012/02/04.html
[link2] http://www.pgpru.com/novosti/2011/obnaruzhenfaljshivyjjudostoverjajuschijjsertifikatdljagmail
[link3] http://www.pgpru.com/novosti/2011/vzlomuccomodeipolucheniefaljshivyhsertifikatovssldljapopuljarnyhservisov