Le contrôleur indien des autorités de certification (India CCA) a lancé une enquête sur la question des certificats numériques non autorisés pour Google par l'autorité de certification du Centre national de l'informatique. Un tel certificat aurait pu être utilisé pour faire croire à un service qu'un faux domaine était légitime.
Dans un article de blog sur son blog de sécurité, Google a déclaré que les certificats non autorisés étaient inclus dans Root Store de Microsoft, ce qui signifie qu'une majorité de programmes Windows qui utilisent SSL feraient confiance à ces certificats.
Les exclusions incluent Firefox, qui utilise son propre magasin racine, et Chrome, qui utilise des mesures de sécurité TLS/SSL supplémentaires pour protéger les utilisateurs contre les certificats non autorisés. De plus, Google a bloqué ces certificats dans Chrome avec un push CRLSet. Google a également précisé que Chrome sur d'autres plates-formes, notamment Chrome OS, Android, iOS et OS X, n'était pas affecté car les certificats CCA indiens ne sont pas inclus dans ces magasins racine.
Google était en contact avec l'Inde CCA, qui a ensuite déployé une poussée CRLSet pour révoquer les certificats NIC, rendant tous les domaines NIC inaccessibles. La NICAA a depuis cessé d'émettre des certificats numériques pour le moment et affiche le message suivant sur son site Web :
Pour des raisons techniques, le NICCA ne délivre pas de certificats pour le moment. Toutes les opérations sont arrêtées depuis un certain temps et ne devraient pas reprendre de sitôt. Les formulaires de demande DSC ne seront pas acceptés tant que les opérations ne reprendront pas et d'autres instructions seront émises par la suite. La gêne occasionnée est regrettée.
Source: Google