Dass das aktuelle Vertrauenskonzept von SSL/TLS ein Kartenhaus ist, welches jeden Moment zusammenbrechen kann, ist ja bekannt. Dass eine CA aber nun auch selbstständig das Vertrauen in dieses System untergräbt, ist ein neuer Meilenstein.
Bisher musste man in der Server der CAs einbrechen, um an ein Root-Zertifikat zu kommen. Trustwave hat allerdings einem Kunden ein solches Zertifikat verkauft, um dem Kunden die Überwachung des Internetverkehr der Mitarbeiter zu ermöglichen. Man hat aber den Fehler eingesehen, das Zertifikat widerrufen und wird sowas nie wieder machen. Und Missbrauch war ja eh ausgeschlossen. m(
Der letzte Satz in dem Artikel ist auch der Burner.
Dies ist nach unserem Kenntnisstand der erste bekannt gewordene Fall, in dem eine allgemein anerkannte Zertifizierungsstelle ganz offiziell für Überwachungszwecke Dritten das Ausstellen von beliebigen SSL-Server-Zertifikaten ermöglicht hat. Allerdings erklärt Trustwave, dies sei eine durchaus übliche Praxis, die auch andere Root-CAs beträfe.
Vertrauen, auf das man bauen kann!