Der indische Controller of Certifying Authorities (CCA in Indien) hat eine Untersuchung zur Ausgabe nicht autorisierter digitaler Zertifikate an Google durch die Zertifizierungsstelle des National Informatics Center eingeleitet. Ein solches Zertifikat hätte einen Dienst dazu verleiten können, zu glauben, dass eine gefälschte Domain legitim ist.
In einem Blogeintrag in seinem Sicherheitsblog hat Google angegeben, dass die nicht autorisierten Zertifikate im Stammspeicher von Microsoft enthalten sind. Dies bedeutet, dass die meisten Windows-Programme, die SSL verwenden, diesen Zertifikaten vertrauen würden.
Zu den Ausnahmen zählen Firefox, das seinen eigenen Stammspeicher verwendet, und Chrome, das zusätzliche TLS / SSL-Sicherheitsmaßnahmen verwendet, um Benutzer vor nicht autorisierten Zertifikaten zu schützen. Darüber hinaus hat Google diese Zertifikate in Chrome mit einem CRLSet-Push blockiert. Google hat außerdem klargestellt, dass Chrome auf anderen Plattformen, darunter Chrome OS, Android, iOS und OS X, nicht betroffen ist, da die indischen CCA-Zertifikate nicht in diesen Stammspeichern enthalten sind.
Google stand in Kontakt mit der indischen CCA, die einen darauffolgenden CRLSet-Push zum Widerruf der NIC-Zertifikate einführte, wodurch auf alle NIC-Domains nicht zugegriffen werden konnte. Die NICAA stellt seitdem vorerst keine digitalen Zertifikate mehr aus und hat auf ihrer Website die folgende Meldung veröffentlicht:
Aus technischen Gründen stellt NICCA derzeit keine Zertifikate aus. Alle Vorgänge wurden für einige Zeit gestoppt und werden voraussichtlich nicht bald wieder aufgenommen. DSC-Antragsformulare werden erst nach Wiederaufnahme des Betriebs und weiteren Anweisungen akzeptiert. Verursachte Unannehmlichkeiten werden bedauert.
Quelle: Google
