Il controllore indiano delle autorità di certificazione (India CCA) ha avviato un'indagine sul rilascio di certificati digitali non autorizzati a Google da parte del National Informatics Center Certifying Authority. Un tale certificato avrebbe potuto essere utilizzato per indurre un servizio a pensare che un dominio falso fosse legittimo.
In un post sul blog sulla sicurezza, Google ha dichiarato che i certificati non autorizzati sono stati inclusi nel Root Store di Microsoft, il che significa che la maggior parte dei programmi Windows che utilizzano SSL si fiderebbe di questi certificati.
Le esclusioni includono Firefox, che utilizza il proprio archivio radice, e Chrome, che utilizza misure di sicurezza TLS / SSL aggiuntive per proteggere gli utenti da certificati non autorizzati. Inoltre, Google ha bloccato questi certificati in Chrome con un push CRLSet. Google ha anche chiarito che Chrome su altre piattaforme, tra cui Chrome OS, Android, iOS e OS X, non è stato interessato poiché i certificati CCA indiani non sono inclusi in questi negozi root.
Google era in contatto con l'India CCA, che ha lanciato una successiva spinta CRLSet per revocare i certificati NIC, rendendo inaccessibili tutti i domini NIC. La NICAA da allora ha smesso di rilasciare certificati digitali e ha il seguente messaggio sul suo sito Web:
Per motivi tecnici, NICCA non sta emettendo certificati al momento. Tutte le operazioni sono state interrotte da un po 'di tempo e non si prevede che riprendano presto. I moduli di domanda DSC non saranno accettati fino a quando le operazioni non saranno riprese e successivamente verranno emesse ulteriori istruzioni. L'inconveniente causato è pentito.
Fonte: Google
