Indian Controller of Certifying Authorities (India CCA) har inlett en utredning om utfärdandet av obehöriga digitala certifikat till Google av National Informatics Center Certifiering Authority. Ett sådant certifikat kunde ha använts för att lura en tjänst att tro att en falsk domän var legitim.
I ett blogginlägg på sin säkerhetsblogg har Google uppgett att de obehöriga certifikaten ingick i Microsofts Root Store, vilket innebär att en majoritet av Windows-program som använder SSL skulle lita på dessa certifikat.
Undantag inkluderar Firefox, som använder sin egen rotbutik, och Chrome, som använder ytterligare TLS/SSL-säkerhetsåtgärder för att skydda användare från obehöriga certifikat. Dessutom blockerade Google dessa certifikat i Chrome med en CRLSet-push. Google klargjorde också att Chrome på andra plattformar, som inkluderar Chrome OS, Android, iOS och OS X, inte påverkades eftersom de indiska CCA-certifikaten inte ingår i dessa rotbutiker.
Google var i kontakt med Indien CCA, som rullade ut en efterföljande CRLSet-push för att återkalla NIC-certifikaten, vilket gjorde alla NIC-domäner otillgängliga. NICAA har sedan dess upphört med att utfärda digitala certifikat för tillfället och har följande meddelande på sin webbplats:
På grund av tekniska skäl utfärdar NICCA inte certifikat för närvarande. All verksamhet har stoppats under en tid och förväntas inte återupptas snart. DSC-ansökningsformulär kommer inte att accepteras förrän verksamheten återupptas och ytterligare instruktioner kommer att utfärdas därefter. Olägenheter som uppstått beklagas.
Källa: Google