Det europæiske it-sikkerhedsagentur ENISA har netop udgivet sin rapport om sommerens Diginotar-skandale - også kaldet "Operation Black Tulip". Den sætter fokus på, hvad der gik galt - og hvad der kan gøres for at forhindre et lignende angreb i fremtiden.
Den såkaldte Comodo-hacker trængte ind hos Diginotar i juni og udstedte mindst 500 falske certifikater. Herunder var også certifikater til Microsoft, Google og Skype. Det satte spørgsmålstegn ved sikkerheden i hele nettets certifikat-system.
Diginotar blev efterfølgende fjernet som troværdig certifikat-udsteder i de fleste browsere, og firmaet blev overtaget af den hollandske stat og gik senere konkurs.
Men problemet var ikke begrænset til Diginotar. Hackeren hævdede at han havde kontrol over fire andre Certification Authories (CA'er).
De falske certifikater er angiveligt brugt til at udspionere systemkritikere i Iran i mindst to måneder.
I den nye rapport konstaterer ENISA, at der er tre alvorlige problemer. For det første har Diginotar forsømt at informere kunder eller myndigheder om cyber-angrebet med det samme. Der gik flere uger, inden meldingen om angrebet kom ud. En hurtig udmelding kunne have begrænset skaderne.
For det andet er der tale om en fundamental svaghed i HTTPS-systemet. De nuværende browsere og operativsystemer stoler på et stort antal certifikat-udstedere, og hvis blot én enkelt af dem bliver kompromitteret, så er alle brugere og alle websites truet. Man kan sige at HTTPS har samme sikkerhed som den svageste certifikat-udsteder.
Det sidste punkt er, at Diginotar ikke har taget selv de mest basale sikkerheds-foranstaltninger. Der er brugt svage kodeord, ingen antivirus-beskyttelse og logning har været mangelfuld - det har alt sammen gjort det lettere for hackeren.
Diginotar havde således ikke en oversigt over de falske certifikater, som hackeren havde oprettet - så den eneste løsning var at blackliste Diginotar helt.
ENISA anbefaler i sin rapport at HTTPS-systemet bør ændres, så det bliver sværere at forfalske certifikater.
Der findes mange teoretiske løsninger. Blandt andet kunne man få flere forskellige CAs til at godkende et certifikat, så der er mindre chance for at én "dårlig" CA ikke kan volde meget skade, men man kan også gå så langt som at erstatte de konventionelle root CAs fuldstændigt.
Et interessant projekt i den arena er Convergence, der bygger på flere års research i Perspectives-projektet på Carnegie Mellon-universitetet i USA. Det er lige nu et browser-plugin, der lader dig vælge hvilke "CAs" (kaldet "notaries"), du stoler på; de CAs kan så vælge hvilke domæner der skal stoles på.
