W dniu 2 lipca stwierdzono, że kilka domen Google posiada nieautoryzowane certyfikaty cyfrowe. Wydawcą fałszywych podpisów okazało się być Narodowe Centrum Informatyki (NIC). Podpisy indyjskiego Centrum Certyfikacji zawarte są w systemie Windows, wobec czego uznawane są one jako zaufane przez większość programów działających pod kontrolą systemu, w tym przez przeglądarki internetowe Internet Explorer i Google Chrome. Problem ten nie dotyczy przeglądarki Mozilla Firefox, która posiada własny i niezależny od systemu operacyjnego magazyn zaufanych certyfikatów.
Nie są znane żadne inne systemy, które posiadają w swojej bazie certyfikaty indyjskiego Centrum Certyfikacji, wobec czego problem ten nie dotyczy użytkowników przeglądarki Google Chrome na innych platformach.
O zaistniałym problemie natychmiast poinformowano Narodowe Centrum Informatyki w Indiach, indyjskie Centrum Certyfikacji oraz Microsoft. Google natychmiast zablokowało fałszywe certyfikaty dzięki funkcji CRLSets, a 3 lipca indyjskie Centrum Certyfikacji unieważniło wszystkie pośrednie certyfikaty, dzięki czemu blokada CRLSets została zdjęta.
Użytkownicy Google Chrome nie muszą podejmować żadnych działań w związku z tym incydentem oraz nie ma żadnych wskazań nadużycia tego błędu. Nie ma potrzeby zmiany hasła do swojego konta.
Indyjskie Centrum Certyfikacji po dochodzeniach stwierdziło, że procedura wydawania certyfikatów została naruszona, a problem ten dotyczy tylko czterech fałszywych podpisów, trzy z nich dotyczyły domen Google oraz jeden domeny Yahoo. Centrum Certyfikacji potwierdziło, że 3 lipca odwołał wszystkie pośrednie certyfikaty Narodowego Centrum informatyki.
Google potwierdza, że w najnowszej wersji przeglądarki Chrome ograniczy certyfikaty wydane przez indyjskie Centrum Certyfikacji wyłącznie do następujących domen i subdomen:
- gov.in
- nic.in
- ac.in
- rbi.org.in
- bankofindia.co.in
- ncode.in
- tcs.co.in
