A Symantec megszünteti a „Class 3 Public Primary CA” root tanúsítványát. A lépésre azért volt szükség, mert a CA/Browser Forum’s alapvető követelményeinek nem felel meg az SHA1 aláírás algoritmusa miatt. A régi Hash (melyet az Amerikai Szabványügyi Hivatal (NIST) már 2013-óta nem javasol) támogatásának kivezetéséről még 2015 október 29-én egyezett meg a társaság.

A Let's Encrypt egy ingyenes, automatizált, nyílt forrású tanúsítvány hitelesítő az Internet Security Research Group (ISRG) jóvoltából. Bármilyen mennyiségű, bizalmas, személyes adat interneten keresztül történő forgalmazása minőségi titkosítást és biztonságot kíván. Erre hozták létre az SSL utódjaként a TLS-t. A protokollt minden böngésző és eszköz, minden szerver, minden adatközpont támogatja. A protokollra való átállás legnagyobb nehézségét a szerveroldali tanúsítványok jelentik. A szerveroldali tanúsítványok biztosítják, hogy a böngésző valóban azzal a szerverre

Jean-Ian Boutin az Eset vírusirtó cég kutatója egy olyan trójai káros szoftvert fedezett fel, amelyet érvényes digitális tanúsítvánnyal írtak alá. A banki felhasználói adatokra specializálódott trójai ezzel meg tudja kerülni felületes teszteket, mivel ártalmatlan programnak látszik. A jelek szerint a tanúsítványt a DigiCert Certificate Authority adta ki, egy olyan cég amely időközben megszűnt.

A Mozilla lépéseket tesz annak érdekében, hogy korlátozza a rossz kezekbe került, másodlagos tanúsítvány kibocsátók által kiadott tanúsítványok által okozott kockázatokat, amelyek segítségével SSL lehallgatásos (SSL snooping) támadásokat lehet végrehajtani. A böngésző gyártó frissítette a CA Certificate Policy-t, és új követelményeket fog előírni, amelyek magasabb elszámolhatóságot ígérnek a másodlagos CA (sub-CA) tanúsítványokkal kapcsolatban, és független vizsgálatokat és szabályokat vezetnek be.

Hacker-ek törték fel a Bit9 IT biztonsági cég rendszerét, ezután lemásolták annak digitális tanúsítványának privát kulcsát, hogy azzal aláírjanak egy káros szoftvert, majd pedig megfertőzzék vele a vállalat ügyfeleit. A szoftverekről fehér listákat készítő cég tanúsítványát a múlt héten lopták el, amikor a core rendszerbe sikerült behatolniuk a támadóknak. Számos Bit9 ügyfélt sikerült megfertőzni - hála az ellopott tanúsítványnak - mivel a szoftvereket látszólag a Bit9 technológiája védte. A cég pénteken egy blogbejegyzésben jelentette be a támadás tényét, amelyben az operatív felügyeletet és az emberi mulasztást tették felelőssé az esetért, nem pedig az általuk eladott rendszerek és szolgáltatások hiányosságait.

A Google és a több böngésző fejlesztő cég lépéseket tesz azért, hogy minél előbb blokkolhassák egy hitelesítés nélküli tanúsítványt, amelyet egy *.google.com domain-hez adtak ki, és amelyet felhasználva a csalók a kereső óriás egy online szolgáltatásának tudják álcázni az általuk készített hamis weboldalt. A Google Chrome egyik szoftvermérnöke Adam Langley blogbejegyzése szerint karácsonykor jutott tudomásukra egy olyan oldal, ahol a hamis tanúsítványt használják. A vizsgálat alapján vissza tudták követni a nyomokat a Turktrust török hitelesítésszolgáltatóhoz, akik gyorsan kiderítették a probléma forrását.

A folyamatosan íródó, a digitális aláírásokat érintő kiberbiztonsági saga egy újabb fejezettel bővült az elmúlt héten, amikor az Adobe bejelentette, hogy hacker-ek feltörték a kódok aláírására használt rendszert, hogy azzal a saját malware-jüket az Adobe aláírásával hitelesítsék. A szoftveróriás szerint legalább két káros programot írtak alá az érvényes Adobe tanúsítvánnyal. A nyomozás kiderítette, hogy az egyik feltört build szerver segítségével történt az eset, amelynek lehetősége volt kódot jóváhagyatni cég kód aláíró rendszerével. Az Adobe visszavonja a kompromittált tanúsítványt, és egy újat fog kiadni a valódi Adobe termékek számára, amelyeket ugyanazzal írtak alá.

Fontos frissítés érkezik augusztusban a Microsoft-tól, így néhány cég komoly gondban lehet, ha nem készültek fel megfelelően a változás. A frissítés blokkolni fog mindent olyan titkosítást igénylő folyamatot, amelynek titkosító kulcsa nincs meg legalább 1024 bit. Íme néhány példa azokból a hibákból, amikkel találkozhatnak a felkészületlen cégek és felhasználók:

A Microsoft kiadott egy rendkívüli Windows frissítést vasárnap, miután kiderült, hogy az egyik digitális aláírásukat használták fel a főleg Iránban és egyéb közel-keleti országokban elterjedt Flame malware hitelesítésének igazolására. A kihasznált sérülékenység a Terminal Server-ben van, amit számtalan üzleti felhasználó használ arra, hogy távolról elérjék a számítógépeket. Azzal, hogy egy meg nem nevezett titkosítási algoritmust támadtak, amellyel a Microsoft a szolgáltatások számára ad ki tanúsítványt, a támadók képesek voltak létrehozni egy köztes tanúsítvány hitelesítőt, ez pedig tartalmazta a Microsoft saját root tanúsítvány hitelesítését.

A VeriSign internetes óriást több adatlopással végződő támadás is érte 2010-ben, amely megkérdőjelezi a cég által aláírt biztonsági tanúsítványok biztonságosságát. A betörésekről szóló homályos jelentések tavaly októberben láttak napvilágot egy biztonsági meghallgatáson, amire a az Értékpapír- és Tőzsdefelügyelet által megváltoztatott biztonsági előírások miatt volt szükség. A tájékoztatóban nem szerepel, hogy az incidensek 2010-ben pontosan mikor történtek, de kitér arra, hogy az adminisztrátorok kezelték és elhárították a támadást, de felső vezetést csak 2011 szeptemberében értesítették az esetről.