<div dir="ltr"><div>Hi, thanks for pointing this out. The list grew over time and the heading is no longer correct. I now changed it to:<br><br>"Other Root Certification Authorities had security breaches or allowed the abuse (willingly or unwillingly) of the ROOT CA Key for spying purposes."<br>
<br></div>regards,<br><br>skyper<br><div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 10, 2013 at 11:31 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 09/12/13 12:42, Ralf Skyper Kaiser wrote:<br>
> I added the incident to <a href="https://wiki.thc.org/ssl#OtherIncidents" target="_blank">https://wiki.thc.org/ssl#OtherIncidents</a><br>
<br>
</div>This is incorrectly listed - the heading here is "Other leading Root<br>
Certification Authorities had security breaches, some of them allowed<br>
the attacker to issue valid certificate for any domain."<br>
<br>
As far as anyone is aware, there was no attack on the CA and no security<br>
breach in this case. You either need to change the heading, or remove<br>
ANSSI and TurkTrust and Trustwave from the list.<br>
<div class="im"><br>
> Will there be more public information available?<br>
<br>
</div>The Mozilla bug is now open:<br>
<a href="https://bugzilla.mozilla.org/show_bug.cgi?id=946351" target="_blank">https://bugzilla.mozilla.org/show_bug.cgi?id=946351</a><br>
<br>
and Google has published most of the cert chain:<br>
<a href="https://www.imperialviolet.org/binary/anssi-chain.txt" target="_blank">https://www.imperialviolet.org/binary/anssi-chain.txt</a><br>
<br>
Gerv<br>
</blockquote></div><br></div>