De Indiase controller van certificerende autoriteiten (India CCA) is een onderzoek gestart naar de uitgifte van ongeautoriseerde digitale certificaten aan Google door de National Informatics Centre Certification Authority. Een dergelijk certificaat had kunnen worden gebruikt om een service te laten denken dat een nep-domein legitiem was.
In een blogpost op zijn beveiligingsblog heeft Google verklaard dat de ongeautoriseerde certificaten waren opgenomen in de Root Store van Microsoft, wat betekent dat een meerderheid van de Windows-programma's die SSL gebruiken deze certificaten zouden vertrouwen.
Uitsluitingen zijn Firefox, dat zijn eigen rootstore gebruikt, en Chrome, dat aanvullende TLS / SSL-beveiligingsmaatregelen gebruikt om gebruikers te beschermen tegen ongeautoriseerde certificaten. Bovendien heeft Google deze certificaten in Chrome geblokkeerd met een CRLSet-push. Google heeft ook verduidelijkt dat Chrome op andere platforms, waaronder Chrome OS, Android, iOS en OS X, niet is aangetast omdat de Indiase CCA-certificaten niet in deze rootstores zijn opgenomen.
Google heeft contact gehad met de CCA in India, die een volgende CRLSet-push heeft uitgerold om de NIC-certificaten in te trekken en alle NIC-domeinen ontoegankelijk te maken. De NICAA heeft sindsdien geen digitale certificaten meer uitgegeven en heeft het volgende bericht op haar website:
Om technische redenen geeft NICCA momenteel geen certificaten uit. Alle bewerkingen zijn enige tijd gestopt en zullen naar verwachting niet snel worden hervat. DSC-aanvraagformulieren worden niet geaccepteerd totdat de werkzaamheden zijn hervat en daarna verdere instructies worden gegeven. Veroorzaakt ongemak wordt betreurd.
Bron: Google
