Indyjski kontroler urzędów certyfikacji (India CCA) wszczął dochodzenie w sprawie wydawania nieautoryzowanych certyfikatów cyfrowych dla Google przez Krajową Instytucję Certyfikującą Centrum Informatyki. Taki certyfikat mógł zostać wykorzystany do oszukania usługi, aby pomyślała, że fałszywa domena jest legalna.
W poście na swoim blogu poświęconym bezpieczeństwu Google stwierdził, że nieautoryzowane certyfikaty zostały uwzględnione Microsoft Root Store, co oznacza, że większość programów Windows korzystających z protokołu SSL będzie im ufać certyfikaty.
Wyjątki obejmują Firefoksa, który korzysta z własnego magazynu głównego, oraz Chrome, który stosuje dodatkowe środki bezpieczeństwa TLS/SSL w celu ochrony użytkowników przed nieautoryzowanymi certyfikatami. Ponadto Google zablokował te certyfikaty w przeglądarce Chrome za pomocą polecenia CRLSet push. Google wyjaśnił również, że Chrome na innych platformach, w tym Chrome OS, Android, iOS i OS X, nie został naruszony, ponieważ indyjskie certyfikaty CCA nie są uwzględnione w tych głównych sklepach.
Google było w kontakcie z indyjskim CCA, który uruchomił kolejny push CRLSet w celu unieważnienia certyfikatów NIC, przez co wszystkie domeny NIC stały się niedostępne. Od tego czasu NICAA zaprzestała na razie wydawania certyfikatów cyfrowych i umieściła następujący komunikat na swojej stronie internetowej:
Z przyczyn technicznych NICCA na razie nie wydaje certyfikatów. Wszystkie operacje zostały wstrzymane na jakiś czas i nie oczekuje się ich wznowienia w najbliższym czasie. Formularze wniosków DSC nie będą przyjmowane do czasu wznowienia działalności, po czym zostaną wydane dalsze instrukcje. Przepraszamy za spowodowane niedogodności.
Źródło: Google