Tuesday, August 30, 2011

Interesting post found on the Internet: Was tut man als holländische CA, nachdem man erwischt wurde, wie man dem Iran Zertifikate für Google Mail ausgestellt hat? Das ist PR-technisch keine ganz einfache Situation. Man könnte sagen, naja, das ist der Iran, die hätten die halt sonst woanders gekauft. Und so haben wir ihnen Geld abgenommen, mit dem sie jetzt keine Raketen bauen können!1!!DigiNotar geht einen anderen Weg. Hier ist ihre Presseerklärung. Und das ist Comedy Gold, sage ich euch! N


Found on Fefes Blog
Was tut man als holländische CA, nachdem man erwischt wurde, wie man dem Iran Zertifikate für Google Mail ausgestellt hat? Das ist PR-technisch keine ganz einfache Situation. Man könnte sagen, naja, das ist der Iran, die hätten die halt sonst woanders gekauft. Und so haben wir ihnen Geld abgenommen, mit dem sie jetzt keine Raketen bauen können!1!!DigiNotar geht einen anderen Weg. Hier ist ihre Presseerklärung. Und das ist Comedy Gold, sage ich euch! Nicht nur behaupten sie, die Zertifikate gar nicht ausgestellt zu haben, nein, sie pullen die "wir wurden gehackt!1!!"-Karte. Nun ist die Ansage, als CA, dass man gehackt werden kann, natürlich der ultimative Totalschaden. Das ist wie bei RSAs Tokens. Niemand bei Verstand kauft jemals wieder bei einem solchen Anbieter. Die ehrenhafte Variante wäre, gleich direkt ganz zuzumachen. Aber soviel Arsch in der Hose hat halt niemand.Inhaltlich ist diese Presseerklärung der Lacher. Sie sagen erst, dass sie im Juli gemerkt haben, dass sie ein Zertifikat für google.com rausgerückt haben. Sie haben reagiert, indem sie die Zertifikate zurückgezogen haben. Das ist ja an sich ein Kapitel an sich, SSL-Zertifikate-Zurückziehen. Aus meiner Sicht ist das zum Gutteil Augenwischerei.Nächster Schritt: ein externer Audit hat bestätigt, dass sie alle Zertifikate erwischt haben. Und dann taucht noch ein Zertifikat auf. Mit anderen Worten: ihr Audit war für den Arsch. Man kann sich also nicht auf ihre Security verlassen und auch nicht auf ihren externen Audit-Dienstleister.Spätestens hier ist Totalschaden. Was tun sie als nächstes? Sie gestikulieren wild in der Luft herum und behaupten, der Rest ihrer Operationen sei aber nach wie vor voll zuverlässig und sicher. Und was machen die sonst so? "PKIoverheid". PKI für die Öffentlichkeit. Die LANDES-PKI FÜR HOLLAND. m(
You can find it here: http://blog.fefe.de/?ts=b0a3db88

No comments: