Den indiske kontrolløren av sertifiseringsmyndigheter (India CCA) har startet en undersøkelse av utstedelsen av uautoriserte digitale sertifikater til Google av sertifiseringsmyndigheten for nasjonalt informatikksenter. Et slikt sertifikat kunne vært brukt til å lure en tjeneste til å tro at et falskt domene var legitimt.
I et blogginnlegg på sin sikkerhetsblogg har Google uttalt at de uautoriserte sertifikatene var inkludert i Microsofts Root Store, noe som betyr at et flertall av Windows-programmer som bruker SSL vil stole på disse sertifikater.
Ekskluderinger inkluderer Firefox, som bruker sin egen rotbutikk, og Chrome, som bruker ekstra TLS/SSL-sikkerhetstiltak for å beskytte brukere mot uautoriserte sertifikater. Videre blokkerte Google disse sertifikatene i Chrome med et CRLSet-push. Google klargjorde også at Chrome på andre plattformer, som inkluderer Chrome OS, Android, iOS og OS X, ikke ble berørt ettersom de indiske CCA-sertifikatene ikke er inkludert i disse rotbutikkene.
Google var i kontakt med India CCA, som rullet ut en påfølgende CRLSet-push for å tilbakekalle NIC-sertifikatene, noe som gjorde alle NIC-domener utilgjengelige. NICAA har siden sluttet å utstede digitale sertifikater foreløpig, og har følgende melding på sin nettside:
På grunn av tekniske årsaker utsteder ikke NICCA sertifikater per nå. Alle operasjoner har vært stoppet en stund og forventes ikke å gjenopptas snart. DSC-søknadsskjemaer vil ikke bli akseptert før driften er gjenopptatt, og ytterligere instruksjoner vil bli utstedt deretter. Ulemper forårsaket beklages.
Kilde: Google