Η Google προειδοποιεί ότι διατίθενται ύποπτα πιστοποιητικά SSL που έχουν εκδοθεί από το Εθνικό Κέντρο Πληροφορικής της Ινδίας (NIC): αυτά τα πιστοποιητικά μπορούν να χρησιμοποιηθούν από διακομιστές για να μεταμφιεστούν σε νόμιμες ιστοσελίδες της Google και παρακολουθούν ή παρεμβαίνουν στην κρυπτογραφημένη επικοινωνία των χρηστών.
Σύμφωνα με αυτή την ανακοίνωση από την ομάδα ασφάλειας της Google, οι υπάλληλοι της Google παρατήρησαν μη εξουσιοδοτημένα πιστοποιητικά για διάφορους τομείς της Google από την περασμένη Τετάρτη και προέρχονταν από το NIC.
Το ανησυχητικό είναι ότι ο εκδότης κατέχει αρκετά ενδιάμεσα πιστοποιητικά CA που θεωρούνται ασφαλή από την ινδική ελεγκτή Αρχή Πιστοποίησης (Ινδία CCA), καθώς και ορισμένες δυτικές εταιρείες.
Οι τεχνικοί της Google ειδοποίησαν τόσο τις ινδικές υπηρεσίες όσο και τη Microsoft σχετικά με το πρόβλημα και τα πλαστά πιστοποιητικά ανακλήθηκαν μία ημέρα αργότερα. Εν τω μεταξύ, η Google έχει αποσύρει όλα τα πιστοποιητικά χρησιμοποιώντας τη λειτουργία του Chrome, CRLSet και υποστηρίζει ότι τα προϊόντα της είναι «καθαρά». Φαίνεται τώρα ότι καλύπτονται επίσης και οι χρήστες της Microsoft.
Η Ινδική CCA έχει προχωρήσει σε μια πλήρη έρευνα για να καθοριστεί τι ακριβώς συνέβη και οδήγησε στην έκδοση των πιστοποιητικών, αλλά δεν είναι η πρώτη φορά που οι αρχές πιστοποίησης είτε έχουν εξαπατηθεί για την έκδοση πλαστών πιστοποιητικών, ή έχουν δεχθεί επίθεση hacking.
:){kind=link}