Ο Ινδός Ελεγκτής των Πιστοποιητικών Αρχών (Ινδία CCA) ξεκίνησε έρευνα για το θέμα των μη εξουσιοδοτημένων ψηφιακών πιστοποιητικών στην Google από την Εθνική Αρχή Πιστοποίησης του Κέντρου Πληροφορικής. Ένα τέτοιο πιστοποιητικό θα μπορούσε να χρησιμοποιηθεί για να ξεγελάσει μια υπηρεσία για να σκεφτεί ότι ένα πλαστό πεδίο ήταν νόμιμο.
Σε μια δημοσίευση στο ιστολόγιό του σχετικά με την ασφάλεια, η Google δήλωσε ότι τα μη εξουσιοδοτημένα πιστοποιητικά συμπεριλήφθηκαν στο Root Store της Microsoft, πράγμα που σημαίνει ότι η πλειοψηφία των προγραμμάτων των Windows που χρησιμοποιούν SSL θα εμπιστευόταν αυτά τα πιστοποιητικά.
Οι εξαιρέσεις περιλαμβάνουν τον Firefox, ο οποίος χρησιμοποιεί το δικό του κατάστημα root και το Chrome, το οποίο χρησιμοποιεί πρόσθετα μέτρα ασφαλείας TLS / SSL για να προστατεύσει τους χρήστες από μη εξουσιοδοτημένα πιστοποιητικά. Επιπλέον, η Google έχει αποκλείσει αυτά τα πιστοποιητικά στο Chrome με μια ώθηση CRLSet. Η Google διευκρίνισε επίσης ότι το Chrome σε άλλες πλατφόρμες, οι οποίες περιλαμβάνουν το Chrome OS, το Android, το iOS και το OS X, δεν επηρεάστηκε καθώς τα ινδικά πιστοποιητικά CCA δεν περιλαμβάνονται σε αυτά τα root stores.
Η Google έρχεται σε επαφή με την CCA της Ινδίας, η οποία δρομολόγησε μια επόμενη ώθηση CRLSet για την ανάκληση των πιστοποιητικών NIC, καθιστώντας όλες τις περιοχές NIC απροσπέλαστες. Η NICAA έχει σταματήσει να εκδίδει προς το παρόν ψηφιακά πιστοποιητικά και έχει στην ιστοσελίδα της το ακόλουθο μήνυμα:
Για τεχνικούς λόγους, η NICCA δεν εκδίδει πιστοποιητικά από τώρα. Όλες οι λειτουργίες έχουν διακοπεί για κάποιο χρονικό διάστημα και δεν αναμένεται να ξαναρχίσουν σύντομα. Τα έντυπα αιτήσεων DSC δεν θα γίνονται δεκτά μέχρι να ξαναρχίσουν οι εργασίες και να εκδοθούν περαιτέρω οδηγίες. Η αναστάτωση που προκαλείται είναι λυπηρή.
Πηγή: Google
