Индийский контролер сертификационных органов (India CCA) начал расследование вопроса о неразрешенных цифровых сертификатах для Google со стороны сертификационного органа Национального центра информатики. Такой сертификат можно было бы использовать, чтобы обмануть службу, полагая, что поддельный домен является законным.
В сообщении в своем блоге по безопасности Google заявил, что неавторизованные сертификаты были включены в корневой каталог Microsoft, а это означает, что большинство программ Windows, использующих SSL, будут доверять этим сертификатам.
Исключения включают Firefox, который использует собственное корневое хранилище, и Chrome, который использует дополнительные меры безопасности TLS / SSL для защиты пользователей от несанкционированных сертификатов. Кроме того, Google заблокировал эти сертификаты в Chrome с помощью нажатия CRLSet. Google также пояснил, что Chrome на других платформах, включая Chrome OS, Android, iOS и OS X, не был затронут, поскольку сертификаты индийского CCA не включены в эти корневые хранилища.
Google связывался с Индийским CCA, который развернул последующую попытку CRLSet отозвать сертификаты NIC, сделав все домены NIC недоступными. С тех пор NICAA прекратила выпуск цифровых сертификатов и размещает на своем веб-сайте следующее сообщение:
По техническим причинам NICCA на данный момент не выдает сертификаты. Все операции были остановлены на какое-то время и не ожидается возобновления в ближайшее время. Бланки заявлений DSC не будут приниматься до тех пор, пока не будут возобновлены операции и не будут изданы дальнейшие инструкции. Приносимые неудобства приносятся извинения.
Источник: Google