De aanvallers die bij het Nederlandse DigiNotar wisten in te breken, hadden het naast Google en het Tor Project, ook op Mozilla voorzien, zo heeft de open source-ontwikkelaar laten weten. "DigiNotar waarschuwde ons in juli dat ze frauduleuze certificaten voor addons.mozilla.org hadden uitgegeven en ze binnen een aantal dagen na het uitgeven hadden ingetrokken", aldus een verklaring van Mozilla topman Johnathan Nightingale.

Via de certificaten zou een aanvaller een nepsite kunnen opzetten, zonder dat bezoekers in dit geval gewaarschuwd werden, of het verkeer van bezoekers afluisteren. "Wegens het uitblijven van een volledig overzicht van de ten onrechte uitgegeven certificaten door DigiNotar, besloot het Mozilla team om DigiNotar uit ons rootprogramma te verwijderen en onze gebruikers te beschermen", gaat Nightingale verder.

Aanval
DigiNotar liet eerder weten dat het de aanval op 19 juli ontdekte, maar de aanval begon volgens Chester Wisniewski van anti-virusbedrijf Sophos op 10 juli. Ook heeft hij geen hoge pet op van de audit die het Nederlandse bedrijf na de aanval liet uitvoeren. "Het missen van het uitgegeven certificaat voor Google roept vragen op over de kwaliteit en diepgang van de uitgevoerde audit."

Wisniewski stelt verder dat het bedrijf het vertrouwen van de internetgemeenschap heeft geschonden. "Dat DigiNotar een incident zo lang geheim heeft kunnen houden, demonstreert dat ons vertrouwen in certificate authorities misplaatst is." Certificate authorities geven onder andere SSL-certificaten uit waarmee browsers de identiteit van een website bepalen en het verkeer van bezoekers versleutelen.

Inmiddels is ook bekend geworden dat Mac OS X door een programmeerfout problemen heeft om de frauduleuze certificaten in te trekken.