Eles afirmam que nenhuma das chaves e CAs foram comprometidas. Em vez disso, um sistema de um afiliado foi comprometido para enganá-lo e conseguir assinar os certificados fraudulentos. O atacante obteve o nome de usuário e senha para entrar nos sistemas de parceiros, e pôde, assim, emitir os certificados.

De acordo com o Comodo, a violação foi descoberta rapidamente e eles têm praticamente certeza de que o atacante só emitiu os certificados que já estão nas blacklists.

Veja a declaração completa no site oficial do Comodo Group.

Via: Comodo RA Compromise

A Mozilla foi informada sobre a emissão de vários certificados SSL falsos para sites públicos. Os certificados foram revogados pela autoridade de certificação (CA), o que deve proteger a maioria dos usuários. Apesar de não ser um problema específico do Firefox, a Mozilla optou por atualizar o Firefox 4.0, 3.6, e 3.5 para reconhecer esses certificados fraudulentos e bloqueá-los automaticamente.

Usuários em uma rede comprometida poderiam ser direcionados a sites que utilizam os certificados fraudulentos e confundi-los como sendo sites legítimos. Isso pode fazer com que os usuários revelem informações pessoais, como nomes de usuário e senhas, acreditando que o site é legítimo. Os certificados também pode ser usados para enganar usuários para baixar malwares, tendo em vista que eles podem acreditar que está vindo de um site confiável.

As versões atuais do Firefox já estão protegidos deste ataque. A Mozilla recomenda que todos os usuários mantenham seus softwares atualizados.

Esse problema foi relatado para a Mozilla pelo Comodo Group, Inc., a autoridade certificadora responsável pela emissão dos certificados fraudulentos.

Via: Firefox Blocking Fraudulent Certificates

Agora o Google voltou sua atenção para as APIs utilizadas pelos desenvolvedores: “Para a maioria das APIs, nossa documentação técnica, bibliotecas e exemplos de código já usam SSL.”, anunciou Adam Feldman, da equipe de desenvolvimento do Google. “Muitas novas APIs e versões novas das já existentes serão somente SSL. Além disso, a API do Google Maps, que oferecia SSL somente para os clientes Premier, agora está disponível para todos os desenvolvedores.”

Eles também fizeram com que as APIs do Google Docs, Google Spreadsheets e Google Sites utilizem conexões SSL para todas as solicitações a partir de agora. Portanto, chamadas HTTP inseguras não serão mais permitidas.

Veja o anúncio oficial no blog do Google Code.

Via: Google extends SSL to developer facing APIs

Fonte: @salgado_bruno (via computerworld)

Foto: Twitter por respres, CC-BY.

Conforme mencionamos anteriormente, a Google criou a possibilidade de fazer buscas usando SSL, que utiliza conexões criptografadas ponta-a-ponta, impedindo que outras pessoas investiguem o que está sendo trafegado, aumentando a privacidade do usuário. A utilização da busca encriptada é opcional.

Fonte: Official Google Enterprise Blog: An update on encrypted web search in schools (via)

Nenhum detalhe sobre a vulnerabilidade foi divulgado – e provavelmente não o será, até que a mesma seja corrigida – dada a suposta criticidade do problema.

Fonte: Comodo Notifies VeriSign of Major Security Vulnerability and Urges VeriSign to Correct, Remediate and Notify its Customers

Foto: komodo dragon por dtaylorcreative, CC-BY-ND.

A versão beta do serviço está disponível apenas em inglês (por enquanto, https://google.com.br redireciona para versão http normal) e apenas para a busca de texto, não incluindo outros serviços tais como busca de imagens ou mapas.

Fonte: Official Google Blog: Search more securely with encrypted Google web search