Natten till torsdagen avslöjades det att säkerhetsföretaget Comodo, som är en av de stora utgivarna av certifikat för så kallad SSL-kryptering av webbsidor, utsatts för ett allvarligt intrång.

Hackare, enligt Comodo från Iran, har lyckats skapa falska certifikat för åtta populära sajter: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, login.live.com samt addons.mozilla.org.

Certifikaten skulle kunna användas för att skapa falska versioner av sajterna, och genom detta få tag i användarinformation eller övervaka användarnas kommunikation.

Hacket började med ett intrång hos en av Comodos återförsäljare där man kom över ett användarkonto. Med detta har hackarna sedan kunnat skapa nya, helt giltiga, certifikat. Intrånget lär ha skett vid samma tidpunkt som attacken mot säkerhetsföretaget RSA.

I början av förra veckan skickade Comodo ut instruktioner om att dra tillbaka certifikaten till de servrar som sköter identifieringen av certifikat. Detta är i sig inget ovanligt, eftersom certifikat dras tillbaka hela tiden av olika anledningar. Vad som var annorlunda den här gången var att detta följdes av att Google, Mozilla och Microsoft kort därefter skickade ut uppdateringar av sina respektive webbläsare.

Attacken nådde offentlighetens ljus först efter att säkerhetsexperten Jacob Applebaum listat ut att det var Comodo som drabbats och meddelat alla inblandade företag att han planerade att blogga om det.

De vanliga webbläsarna ska alltså redan vara skyddade från säkerhetshålet, men på Twitter har Jacob Appelbaum också påpekat att det inträffade kräver att även mobilföretagen reagerar:

"Jag undrar hur mobiltillverkarna tar sig an Comodofallet. Indragning (av certifikat) fungerar i princip inte på telefoner, och att uppdatera webbläsarna? Knappast.", skriver han.

Microsoft har gått ut med ett extra säkerhetsråd med anledning av attacken.