Der Indian Controller of Certifying Authorities (India CCA) hat eine Untersuchung zur Ausstellung nicht autorisierter digitaler Zertifikate eingeleitet Google von der National Informatics Center Certifying Authority. Ein solches Zertifikat hätte verwendet werden können, um einen Dienst zu täuschen und ihn zu der Annahme zu verleiten, dass eine gefälschte Domain legitim sei.
In einem Blogbeitrag auf seinem Sicherheitsblog hat Google erklärt, dass die nicht autorisierten Zertifikate enthalten waren Microsofts Root Store, was bedeutet, dass die meisten Windows-Programme, die SSL verwenden, diesen vertrauen würden Zertifikate.
Ausgenommen sind Firefox, das seinen eigenen Root-Store verwendet, und Chrome, das zusätzliche TLS/SSL-Sicherheitsmaßnahmen verwendet, um Benutzer vor nicht autorisierten Zertifikaten zu schützen. Darüber hinaus hat Google diese Zertifikate in Chrome mit einem CRLSet-Push blockiert. Google stellte außerdem klar, dass Chrome auf anderen Plattformen, darunter Chrome OS, Android, iOS und OS X, nicht betroffen sei, da die indischen CCA-Zertifikate nicht in diesen Stammspeichern enthalten seien.
Google stand in Kontakt mit der indischen CCA, die daraufhin einen CRLSet-Vorstoß einführte, um die NIC-Zertifikate zu widerrufen, wodurch alle NIC-Domänen unzugänglich wurden. Die NICAA stellt inzwischen vorerst keine digitalen Zertifikate mehr aus und veröffentlicht auf ihrer Website folgende Meldung:
Aus technischen Gründen stellt NICCA derzeit keine Zertifikate aus. Der gesamte Betrieb wurde seit einiger Zeit eingestellt und wird voraussichtlich nicht bald wieder aufgenommen. DSC-Antragsformulare werden erst dann akzeptiert, wenn der Betrieb wieder aufgenommen wird und danach weitere Anweisungen erteilt werden. Wir bedauern die entstandenen Unannehmlichkeiten.
Quelle: Google