GlobalSign hat seine endgültigen Ergebnisse zum Fall „ComodoHacker“ vorgelegt. Der sogenannte ComodoHacker, ein 21-jähriger Iraner, hatte im September behauptet, in die Systeme von GlobalSign eingedrungen zu sein. Der belgische Zertifikatsaussteller nahm seine Server daraufhin für eine Woche vom Netz und startete eine Untersuchung. Das Resultat bestätigt die ersten Eindrücke von Mitte September: Der Hacker, der sich auch als „Sun Ich“ bezeichnet, ist auf dem falschen Server gelandet.
Die Maschine sei kein Teil der Zertifikatausgabe bei GlobalSign gewesen, heißt es. „Die Domain www.globalsign.com wird nur für die öffentlichen Websites für Nordamerika gebraucht. Auf ihr laufen keine Webanwendungen, die Zertifikate anfordern oder ausgeben können, und sie enthält auch keine Kundendaten.“
Dennoch ist GlobalSign nach eigenen Angaben kein Risiko eingegangen. Es hat das System eingefroren, mit einer neuen Festplatte frisch aufgesetzt und die Passwörter aller Kunden zurückgesetzt.
Die Angaben von GlobalSign decken sich letztlich mit dem Wortlaut der Erklärung, die Sun Ich auf Pastebin im September abgegeben hatte: „Ich habe Zugriff auf ihren ganzen Server, habe Backups der Datenbank angefertigt, ihr Linux/tar heruntergeladen; ich habe sogar den privaten Key der Domain globalsign.com.“
Das von Sun Ich genutzte Konto bei Pastebin wurde seit September nicht mehr genutzt. Die von ihm angekündigten weiteren Attacken sind ausgeblieben. Das macht die Bedrohung durch kompromittierte Zertifikate aber nicht geringer. Im Oktober hatte die Electronic Frontier Foundation einen erfolgreichen Angriff auf eine Ausgabestelle solcher Zertifikate gemeldet, ohne deren Namen zu nennen.
Und auch wenn der „ComodoHacker“ den falschen Server von GlobalSign erwischt haben sollte, war er doch ein halbes Jahr zuvor beim namensgebenden Angriff auf Comodo erfolgreich gewesen. Er entwendete dem Sicherheitsanbieter neun SSL-Zertifikate. Er habe den Angriff als Protest gegen die US-Regierung gestartet, erklärte der Iraner im April gegenüber ZDNet. Als Beweis veröffentlichte er die private Hälfte eines der geklauten SSL-Zertifikate im Netzwerk von GlobalTrust, einem italienischen Vertriebspartner von Comodo, der nicht mit GlobalSign zu verwechseln ist.