El controlador indi de les autoritats de certificació (CCA de l’Índia) ha llançat una investigació sobre l’emissió de certificats digitals no autoritzats a Google per l’autoritat de certificació del Centre Nacional d’Informàtica. Aquest certificat es podria haver utilitzat per provocar un servei per pensar que un domini fals era legítim.
En una publicació al seu bloc de seguretat, Google ha declarat que els certificats no autoritzats estaven inclosos a la botiga raíz de Microsoft, cosa que significa que la majoria dels programes de Windows que utilitzen SSL confiarien en aquests certificats.
Entre les exclusions s’inclouen Firefox, que utilitza la seva pròpia botiga root, i Chrome, que utilitza mesures de seguretat addicionals de TLS / SSL per protegir els usuaris de certificats no autoritzats. A més, Google va bloquejar aquests certificats a Chrome amb un pressupost CRLSet. Google també va aclarir que Chrome en altres plataformes, que inclouen Chrome OS, Android, iOS i OS X, no es va veure afectat ja que els certificats CCA indis no estan inclosos en aquestes botigues root.
Google va estar en contacte amb el CCA de l’Índia, que va realitzar un impuls posterior de CRLSet per revocar els certificats NIC, fent que tots els dominis NIC fossin inaccessibles. Des de llavors, la NICAA ha deixat d’emetre certificats digitals i té el missatge següent al seu lloc web:
Per motius tècnics, NICCA ara no emetrà certificats fins ara. Totes les operacions s’han aturat durant un temps i no s’espera que es reprenguin aviat. Els formularis de sol·licitud DSC no s’acceptaran fins que es reprenguin les operacions i després s’emetran instruccions posteriors. Es lamenta la incomoditat causada.
Font: Google
