Intian todentamisviranomaisten valvoja (Intian CCA) on käynnistänyt tutkimuksen kansallisen tietotekniikkakeskuksen varmentavan viranomaisen myöntämästä Googlelle luvattomia digitaalisia varmenteita. Tällaista sertifikaattia olisi voitu käyttää huijaamaan palvelua ajattelemaan, että väärennetty verkkotunnus oli laillinen.
Google on julkaissut tietoturvabloginsa blogiviestissä, että luvattomat varmenteet sisältyivät Microsoftin Juurikauppaan, mikä tarkoittaa, että suurin osa SSL: tä käyttävistä Windows-ohjelmista luottaa näihin varmenteisiin.
Poissulkemisia ovat Firefox, joka käyttää omaa juurikauppaa, ja Chrome, joka käyttää ylimääräisiä TLS / SSL-turvatoimia käyttäjien suojaamiseksi luvattomilta varmenteilta. Lisäksi Google esti nämä sertifikaatit Chromessa CRLSet-push-toiminnolla. Google selvensi myös, että Chrome ei vaikuttanut muilla alustoilla, joihin kuuluvat Chrome OS, Android, iOS ja OS X, koska Intian CCA-varmenteita ei sisälly näihin juurikauppoihin.
Google oli yhteydessä Intian CCA: han, joka avasi myöhemmän CRLSet-painostuksen peruuttaakseen NIC-sertifikaatit, jolloin kaikki NIC-verkkotunnukset eivät olleet käytettävissä. NICAA on sittemmin lopettanut digitaalisten sertifikaattien myöntämisen, ja sillä on seuraava viesti verkkosivuillaan:
Teknisistä syistä NICCA ei myönnä todistuksia toistaiseksi. Kaikki toiminnot on keskeytetty jonkin aikaa, eikä niiden odoteta alkavan pian. DSC-hakemuslomakkeita ei hyväksytä ennen toiminnan jatkamista ja sen jälkeen annetaan lisäohjeita. Aiheutuneita haittoja on valitettavasti.
Lähde: Google
