Den indiske controller af certificerende myndigheder (Indien CCA) har iværksat en undersøgelse af spørgsmålet om uautoriserede digitale certifikater til Google af det nationale informatikcentrecertificerende myndighed. Et sådant certifikat kunne have været brugt til at narre en tjeneste til at tro, at et falsk domæne var legitimt.
I et blogindlæg på sin sikkerhedsblog har Google udtalt, at de uautoriserede certifikater var inkluderet i Microsofts Root Store, hvilket betyder, at et flertal af Windows-programmer, der bruger SSL, ville stole på disse certifikater.
Ekskluderinger inkluderer Firefox, der bruger sin egen rodlager, og Chrome, der bruger yderligere TLS / SSL-sikkerhedsforanstaltninger for at beskytte brugere mod uautoriserede certifikater. Yderligere blokerede Google disse certifikater i Chrome med et CRLSet-push. Google præciserede også, at Chrome på andre platforme, der inkluderer Chrome OS, Android, iOS og OS X ikke blev påvirket, da de indiske CCA-certifikater ikke er inkluderet i disse rodbutikker.
Google var i kontakt med den indiske CCA, der rullede et efterfølgende CRLSet-skub for at tilbagekalde NIC-certifikaterne, hvilket gjorde alle NIC-domæner utilgængelige. NICAA er siden ophørt med at udstede digitale certifikater i øjeblikket og har følgende meddelelse på sin hjemmeside:
Af tekniske grunde udsteder NICCA ikke certifikater lige nu. Alle operationer er stoppet i nogen tid og forventes ikke at genoptage snart. DSC-ansøgningsformularer vil ikke blive accepteret, før operationerne er genoptaget, og yderligere instruktioner udstedes derefter. Ulykke forårsaget beklages.
Kilde: Google
