Seit vier Jahren unentdeckt

KPN hat verkündet, keine SSL-Zertifikate mehr auszustellen

KPN Corporate Market, eine Untergruppe des holländischen Telekommunikations-Unternehmens KPN, stellt vorerst keine SSL-Zertifikate mehr aus. Grund ist ein kompromittierter Server.

Da auch Einbrüche bei anderen CAs festgestellt wurden, haben die Zertifikats-Aussteller ihre Infrastruktur wohl genau untersucht. Bei KPN fand man einen kompromittierten Server. Dieser hatte ein Programm installiert, das sich für DDOS-Angriffe (Distributed Denial of Service) nutzen lässt. Der Einbruch fand wohl schon vor vier Jahren statt und blieb bisher unentdeckt.

Nun hat KPN angekündigt, vorerst keine Zertifikate mehr auszustellen. Man glaubt aber, dass die sich auf dem Markt befindlichen Zertifikate nicht kompromittiert wurden. Ausschließen will man das aber auch nicht. Bis der Vorfall komplett untersucht ist, gibt es keine zertifikate mehr von KPN. (jdo)