Indyjski kontroler urzędów certyfikujących (Indie CCA) wszczął dochodzenie w sprawie wydawania Google nieautoryzowanych certyfikatów cyfrowych przez krajowy urząd certyfikacji Centrum Informatycznego. Taki certyfikat mógłby zostać wykorzystany do oszukiwania usługi w przekonaniu, że fałszywa domena jest legalna.
W poście na blogu poświęconym bezpieczeństwu Google stwierdził, że nieautoryzowane certyfikaty zostały zawarte w katalogu głównym Microsoft, co oznacza, że większość programów Windows korzystających z SSL ufa tym certyfikatom.
Wykluczenia obejmują Firefox, który korzysta z własnego magazynu root, oraz Chrome, który wykorzystuje dodatkowe zabezpieczenia TLS / SSL w celu ochrony użytkowników przed nieautoryzowanymi certyfikatami. Ponadto Google zablokował te certyfikaty w Chrome za pomocą wypychania CRLSet. Google wyjaśniło również, że nie miało to wpływu na Chrome na innych platformach, w tym Chrome OS, Android, iOS i OS X, ponieważ indyjskie certyfikaty CCA nie są zawarte w tych sklepach głównych.
Google utrzymywał kontakt z indyjską CCA, która wdrożyła kolejne polecenie CRLSet w celu unieważnienia certyfikatów NIC, uniemożliwiając dostęp do wszystkich domen NIC. Od tego czasu NICAA zaprzestała wydawania certyfikatów cyfrowych i ma na swojej stronie internetowej następujący komunikat:
Z przyczyn technicznych NICCA nie wydaje obecnie certyfikatów. Wszystkie operacje zostały zatrzymane na jakiś czas i nie oczekuje się, że zostaną wznowione wkrótce. Formularze zgłoszeniowe DSC nie będą przyjmowane do momentu wznowienia operacji, a następnie zostaną wydane dalsze instrukcje. Wykluczone są niedogodności.
Źródło: Google
