O Controlador Indiano de Autoridades Certificadoras (India CCA) lançou uma investigação sobre a emissão de certificados digitais não autorizados para Google pela Autoridade Certificadora do Centro Nacional de Informática. Tal certificado poderia ter sido usado para induzir um serviço a pensar que um domínio falso era legítimo.
Em uma postagem em seu blog de segurança, o Google afirmou que os certificados não autorizados foram incluídos no Armazenamento raiz da Microsoft, o que significa que a maioria dos programas do Windows que usam SSL confiariam nesses certificados.
As exclusões incluem o Firefox, que usa seu próprio armazenamento raiz, e o Chrome, que usa medidas de segurança TLS/SSL adicionais para proteger os usuários contra certificados não autorizados. Além disso, o Google bloqueou esses certificados no Chrome com um push CRLSet. O Google também esclareceu que o Chrome em outras plataformas, que incluem Chrome OS, Android, iOS e OS X, não foi afetado, pois os certificados CCA indianos não estão incluídos nesses armazenamentos raiz.
O Google entrou em contato com o India CCA, que lançou um push CRLSet subsequente para revogar os certificados NIC, tornando todos os domínios NIC inacessíveis. A NICAA deixou de emitir certificados digitais por enquanto e tem a seguinte mensagem em seu site:
Por motivos técnicos, NICCA não está emitindo certificados a partir de agora. Todas as operações foram interrompidas por algum tempo e não devem ser retomadas em breve. Os formulários de inscrição do DSC não serão aceitos até que as operações sejam retomadas e mais instruções serão emitidas posteriormente. Lamentamos o inconveniente causado.
Fonte: Google