Verisign vydal letos v lednu dva certifikáty ověřující platnost programového kódu na společnost Microsoft, problémem ale je, že je nedostal Microsoft, ale někdo, kdo se vydával za zaměstnance Microsoftu.
Verisign vydal letos v lednu dva certifikáty ověřující platnost programového kódu na společnost Microsoft, problémem ale je, že je nedostal Microsoft, ale někdo, kdo se vydával za zaměstnance Microsoftu.
S těmito certifikáty může dotyčný připravit libovolné programy, ActiveX komponenty nebo makra v programech Office často i s destruktivními účinky a dát je k dispozici jako vyrobené firmou Microsoft. Pokud tedy navštívíte nějakou stránku a ta vám nabídne ke stažení ActiveX komponentu certifikovaně vyrobenou Microsoftem, je možné, že to není správná komponenta. Automaticky se komponenta nenainstaluje, uživatel ji ale může povolit, protože bude věřit původci komponenty. Tento dotazovací dialog se zobrazí i v případě, že byste předtím odklikli "důvěřovat všemu od Microsoftu", není to tedy automatické. Bit tedy na tomto průšvihu bude především Microsoft, i když samotná chyba nevznikla jeho vinou.
Verisign tyto certifikáty již dal na seznam neplatných certifikátů, je tu ale jeden problém: žádný prohlížeč to z toho certifikátu nezjistí, je nutná aktualizace seznamu zakázaných certifikátů na samotném počítači uživatele. Vzhledem k záplavě možných prohlížečů není oprava tohoto kódu nikterak snadná a spotřebuje ještě čas. Než bude hotová, Microsoft doporučuje aby si uživatelé v případě pochybností zkontrolovali datum vystavení certifikátu, které se při požadavku na potvrzení zobrazí. Datum vydaných certifikátů je 29. a 30. ledna 2001. V té době nebyl vydán žádný z platných certifikátů pro Microsoft, takže je identifikace podle data jednoznačná. Microsoft také doporučuje instalaci potvrzování při otevírání dokumentů Office z webu, tu lze ale doporučit i obecně.
Dle mého názoru se tyto certifikáty prakticky na veřejnosti ani neobjeví, pro jejich současného majitele bude jistě velkým zadostiučením, že se mu je podařilo získat. Pokud by je v praxi použil k destruktivním účelům, neměl by téměř šanci dosáhnout velkého úspěchu a ihned by po něm šla minimálně FBI (pokud po něm již nejde).
Falešné certifikáty ale ukázaly, že to prostě možné je. Microsoft bude v tomto jistě vláčen, ale značnou část viny má Verisign, že něco podobného umožnil. Navíc tento případ ukazuje, jak je složité zrušit platnost takových certifikátů.
