Door Drs Security en Privacy: Overigens is het wel weer duidelijk dat de redactie hier geen verstand heeft van PKI. Certificaten zijn per definitie openbaar, dat is het hele idee. Dus er zijn helemaal geen certificaten gestolen, private keys wel en dat is precies waar het hier fout is gegaan. En ja daarna maak je het certificaat ongeldig waarbij, als er uberhaupt op gecontroleerd wordt, alles wat er met de private key, die bij de publieke sleutel hoort die in het certificaat zit, ondertekend is ongeldig wordt. Ik heb het bericht nagetrokken, maar volgens de laatste berichten zijn er geen private keys gestolen. Als die wel gestolen zouden zijn, dan moet vaak een complete trust chain worden vervangen. In potentie een behoorlijke impact voor browsers en besturingssystemen. Maar dat is hier niet het geval. Wat wél is gestolen zijn de zogeheten initialization codes voor al goedgekeurde EV code-signing certificaten; daarmee konden aanvallers legitieme code-signing certificaten ophalen en gebruiken om malware te ...