Hackern ist es gelungen, über 500 SSL-Zertifikate von dem niederländischen Unternehmen DigiNotar zu stehlen . Zu den betroffenen Domains sollen auch Websites gehören, die die Nachrichtendienste CIA, MI6 und der Mossad nutzen. Auch Microsoft, Yahoo, Skype, Facebook, Twitter und Microsofts Update-Dienst gehören zu den Opfern. Microsoft hat aber mittlerweile verlauten lassen, dass die gestohlenen Zertifikate nicht dafür missbraucht werden könnten, um manipulierte Updates an die Windows-Gemeinde über Windows Update zu verbreiten.
In einem Blog-Eintrag des Microsoft Security Response Center (MSRC) betont Microsoft-Entwickler Jonathan Ness, dass der Windows-Update-Client nur Inhalte installieren könne, die Microsoft selbst digital signiert habe. Sieben der 531 gestohlenen Zertifikate galten für die Domains update.microsoft.com und windowsupdate.com. Weitere sechs der gestohlenen Zertifikate galten für *.microsoft.com.
Laut Microsoft können die Diebe die Zertifkate für windowsupdate.com nicht missbrauchen, weil Microsoft diese Domain nicht mehr nutzt. Windows Update nutzt mittlerweile die Domain windowsupdate.microsoft.com. Die Zertifikate für update.microsoft.com und *.microsoft.com könnten dagegen von den Hackern verwendet werden. Die über diese Domains ausgelieferten Updates sind aber – wie erwähnt – durch ein zusätzliches Zertifikat gesichert, das nur Microsoft vergeben kann. Ein ähnliches Prinzip nutzen auch andere Hersteller, wie Apple, um ihre Updates zusätzlich abzusichern.
Die Browser-Hersteller Mozilla und Google haben bereits angekündigt, mit neuen Browser-Versionen künftig alle Zertifikate blockieren zu wollen, die von DigiNotar herausgegeben wurden . Google Chrome wurde bereits dementsprechend aktualisiert und Mozilla wird voraussichtlich noch am Dienstag Firefox 6.0.2 veröffentlichen. Microsoft will sich anschließen und ebenfalls künftig im Internet Explorer alle DigiNotar-Zertifikate blockieren.