Bruce Schneier blogjában találtam ezt a bejegyzést, amely erre a hírre mutat a Reuters oldalán. Én is csak ennyit tudok.

Eszerint többször is sikeresen feltörték a Verisignt, még 2010-ben. A közelmúltban változott az arra vonatkozó amerikai szabályozás, hogy egy cégnek milyen biztonsági incidenseket kell lejelenteni, ennek kapcsán derült ki most az ügy.

Szintén 2010-ben történt, hogy a Symantec megvette a Verisign SSL üzletágát. A Verisign tovább működött, főként a DNS biztonság területén (http://www.verisigninc.com), ugyanakkor a Symantec is Verisign (Authentication Services) márkanéven működtette tovább az SSL tanúsítvány üzletágat (http://www.verisign.com). (Nem sokkal ezután történt az is, hogy az SSL blogot vezető Tim Callen elment a Verisign-tól, és azóta az SSL blogban javarészt marketing bullshit van, Tim Callen pedig új blogot nyitott.)

Nem lehet tudni, hogy a támadásnak volt-e köze a Verisign CA-jához, illetve hogy amit feltörtek, az most a Verisignnál vagy a Symantec-nél van-e. Ami biztos, hogy manapság a Symantecre is alaposan rájár a rúd.

Az is tény, hogy túl sok PKI biztonsági esemény történit az utóbbi egy évben...

Frissítés: A Diginotartól leginkább azért vonta meg a világ a bizalmat, mert nem jelentették az incidenst, hanem el akarták titkolni. Ha igaz, hogy itt a CA-t érte a támadás, még 2010-ben, és ez csak most, 2012-ben látott napvilágot, akkor a Verisignt sem lehet azzal vádolni, hogy túlságosan elkapkodta volna a hiba bejelentését...

Frissítés2: Mégsem csak marketing bullshit van az SSL blog utódjában, szerepel ott két cáfolat, melyek szerint a Symantec egyáltalán nem érintett; nem az egész Verisignt, hanem csak egy független egységet vettek meg, ami csak "kicsit" volt összecsavarodva a Verisign többi részével.

Ez az én személyes blogom, amit benne írok, az az én saját, személyes véleményem. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.