Depois de Comodo finalmente emitiu um comunicado, confirmou que as suspeitas de Appelbaum fosse verdade. Sua atualização afirma que o compromisso CA "foi um ataque direcionado por um ator nível estadual e eles [Comodo] têm chamado o Irã como o país que eles suspeitam .... Nos detalhes da sua declaração de que temos uma confirmação de que eles têm a capacidade de monitorar e assim as pessoas surveille que desejam saber se os certificados são válidos.
"
De acordo com o SANS Internet Storm Center, os alvos incluíram login.live.com da Microsoft, mail.google.com, www.google.com, login.yahoo.com
(3) certificados do Google, login.skype.com, addons.mozilla.com, e "Agente Fiduciário Global".
US-Cert também postou uma notificação de certificados SSL fraudulentos os e Microsoft lançou um comunicado de segurança sobre os certificados digitais fraudulentos que pode permitir falsificação. Antes de Comodo divulgou um comunicado, houve especulação sobre Hacker News que poderia ser o governo chinês.
Embora os IPs foram de um ISP no Irã, que pode dizer com absoluta certeza agora que
era, tanto o governo iraniano ou outro ator patrocinada pelo Estado tentando fazer parecer que o Irã?
< p> Como Appelbaum escreveu: "O bloqueio números de série específicos ou depender de métodos falhos, comprovadamente quebrados de revogação simplesmente não vai cortá-la mais. Quando os mecanismos de protecção existentes não são aplicadas, há pouca esperança de usuários finais protegido .... Isto deve servir como um alerta para a internet.
Precisamos pesquisar, criar e compartilhar novos métodos para garantir a confiança, identidade, autenticidade e confidencialidade na internet .... Autoridades de Certificação podem continuar a proporcionar um pedaço do quebra-cabeça, mas é chegado o momento de assegurar que eles não são o alfa eo ômega, anymore. "
Todos os fluxos criptografados são suscetíveis a espionagem por cyberthugs ou governos que possivelmente ativistas custo de suas vidas. Vigilância eletrônica está acontecendo o tempo todo e, talvez, para
você.
Existem plugins como perspectivas, Monkeysphere, CertPatrol e Petnames que permitem que um usuário para validar as chaves do local, mas é muito mais trabalho e esforço do que a maioria dos usuários querem ou estão dispostos a ir. O projeto Observatório SSL F