Индийский контролер удостоверяющих центров (India CCA) начал расследование выдачи несанкционированных цифровых сертификатов для Google Удостоверяющим центром Национального центра информатики. Такой сертификат можно было использовать, чтобы обмануть службу, заставив ее думать, что поддельный домен является законным.
В сообщении в своем блоге безопасности Google заявил, что неавторизованные сертификаты были включены в Microsoft Root Store, что означает, что большинство программ Windows, использующих SSL, будут доверять этим сертификаты.
Исключения включают Firefox, который использует собственное корневое хранилище, и Chrome, который использует дополнительные меры безопасности TLS/SSL для защиты пользователей от несанкционированных сертификатов. Кроме того, Google заблокировал эти сертификаты в Chrome с помощью CRLSet. Google также уточнил, что Chrome на других платформах, включая Chrome OS, Android, iOS и OS X, не пострадал, поскольку индийские сертификаты CCA не включены в эти корневые хранилища.
Google связалась с CCA Индии, которая развернула последующую команду CRLSet для отзыва сертификатов NIC, сделав все домены NIC недоступными. С тех пор NICAA временно прекратила выдачу цифровых сертификатов и на своем веб-сайте опубликовала следующее сообщение:
По техническим причинам NICCA пока не выдает сертификаты. Все операции были остановлены на некоторое время и не ожидается возобновления в ближайшее время. Формы заявок DSC не будут приниматься до тех пор, пока операции не будут возобновлены, после чего будут изданы дальнейшие инструкции. Приносим извинения за причиненные неудобства.
Источник: Google