De Indian Controller of Certifying Authorities (India CCA) is een onderzoek gestart naar de uitgifte van ongeautoriseerde digitale certificaten aan Google door de certificeringsautoriteit van het National Informatics Center. Zo'n certificaat had kunnen worden gebruikt om een service te laten denken dat een nepdomein legitiem was.
In een blogpost op zijn beveiligingsblog heeft Google verklaard dat de niet-geautoriseerde certificaten erin waren opgenomen Microsoft's Root Store, wat betekent dat de meeste Windows-programma's die SSL gebruiken, deze zouden vertrouwen certificaten.
Uitsluitingen zijn Firefox, dat zijn eigen root-store gebruikt, en Chrome, dat aanvullende TLS/SSL-beveiligingsmaatregelen gebruikt om gebruikers te beschermen tegen ongeautoriseerde certificaten. Bovendien blokkeerde Google deze certificaten in Chrome met een CRLSet-push. Google verduidelijkte ook dat Chrome op andere platforms, waaronder Chrome OS, Android, iOS en OS X, niet werd beïnvloed omdat de Indiase CCA-certificaten niet zijn opgenomen in deze root-archieven.
Google stond in contact met de Indiase CCA, die een daaropvolgende CRLSet-push uitrolde om de NIC-certificaten in te trekken, waardoor alle NIC-domeinen ontoegankelijk werden. De NICAA geeft inmiddels voorlopig geen digitale certificaten meer uit en heeft op haar website het volgende bericht:
Om technische redenen geeft NICCA op dit moment geen certificaten uit. Alle operaties zijn al enige tijd stilgelegd en zullen naar verwachting niet snel worden hervat. DSC-aanvraagformulieren worden niet geaccepteerd totdat de activiteiten zijn hervat en daarna verdere instructies zullen worden gegeven. Het veroorzaakte ongemak wordt betreurd.
Bron: Google