Az indiai hitelesítő hatóságok ellenőre (India CCA) vizsgálatot indított a nem engedélyezett digitális tanúsítványok kibocsátásával kapcsolatban. Google a Nemzeti Informatikai Központ Hitelesítési Hatósága. Egy ilyen tanúsítványt felhasználhattak volna arra, hogy egy szolgáltatást arra gondoljanak, hogy egy hamis domain jogos.
A Google biztonsági blogján közzétett blogbejegyzésében azt állította, hogy a jogosulatlan tanúsítványokat belefoglalták Microsoft Root Store, ami azt jelenti, hogy az SSL-t használó Windows-programok többsége megbízik ezekben tanúsítványokat.
A kivételek közé tartozik a Firefox, amely saját gyökértárolót használ, és a Chrome, amely további TLS/SSL biztonsági intézkedéseket alkalmaz a felhasználóknak a jogosulatlan tanúsítványok elleni védelmére. Ezenkívül a Google blokkolta ezeket a tanúsítványokat a Chrome-ban egy CRLSet push segítségével. A Google azt is tisztázta, hogy a Chrome más platformokon – köztük a Chrome OS, Android, iOS és OS X – nem érintett, mivel az indiai CCA-tanúsítványok nem szerepelnek ezekben a gyökérboltokban.
A Google felvette a kapcsolatot az indiai CCA-val, amely egy későbbi CRLSet-nyomtatást vezetett be a NIC-tanúsítványok visszavonása érdekében, ami elérhetetlenné tette az összes NIC-domaint. A NICAA azóta egyelőre beszüntette a digitális tanúsítványok kiadását, és a következő üzenetet jeleníti meg a honlapján:
Technikai okok miatt a NICCA jelenleg nem ad ki tanúsítványokat. Valamennyi műveletet leállítottak egy ideje, és várhatóan nem fog hamarosan újraindulni. A DSC jelentkezési lapjait nem fogadjuk el, amíg a műveletek újra nem indulnak, és ezt követően további utasításokat adunk ki. Az okozott kellemetlenségeket sajnáljuk.
Forrás: Google