Fałszywe certyfikaty SSL w domenach Google

10 lipca, 2014

W dniu 2 lipca stwierdzono, że kilka domen Google posiada nieautoryzowane certyfikaty cyfrowe. Wydawcą fałszywych podpisów okazało się być Narodowe Centrum Informatyki (NIC). Podpisy indyjskiego Centrum Certyfikacji zawarte są w systemie Windows, wobec czego uznawane są one jako zaufane przez większość programów działających pod kontrolą systemu, w tym przez przeglądarki internetowe Internet Explorer i Google Chrome. Problem ten nie dotyczy przeglądarki Mozilla Firefox, która posiada własny i niezależny od systemu operacyjnego magazyn zaufanych certyfikatów.

Nie są znane żadne inne systemy, które posiadają w swojej bazie certyfikaty indyjskiego Centrum Certyfikacji, wobec czego problem ten nie dotyczy użytkowników przeglądarki Google Chrome na innych platformach.

O zaistniałym problemie natychmiast poinformowano Narodowe Centrum Informatyki w Indiach, indyjskie Centrum Certyfikacji oraz Microsoft. Google natychmiast zablokowało fałszywe certyfikaty dzięki funkcji CRLSets, a 3 lipca indyjskie Centrum Certyfikacji unieważniło wszystkie pośrednie certyfikaty, dzięki czemu blokada CRLSets została zdjęta.

Użytkownicy Google Chrome nie muszą podejmować żadnych działań w związku z tym incydentem oraz nie ma żadnych wskazań nadużycia tego błędu. Nie ma potrzeby zmiany hasła do swojego konta.

Indyjskie Centrum Certyfikacji po dochodzeniach stwierdziło, że procedura wydawania certyfikatów została naruszona, a problem ten dotyczy tylko czterech fałszywych podpisów, trzy z nich dotyczyły domen Google oraz jeden domeny Yahoo. Centrum Certyfikacji potwierdziło, że 3 lipca odwołał wszystkie pośrednie certyfikaty Narodowego Centrum informatyki.

Google potwierdza, że w najnowszej wersji przeglądarki Chrome ograniczy certyfikaty wydane przez indyjskie Centrum Certyfikacji wyłącznie do następujących domen i subdomen:

  1. gov.in
  2. nic.in
  3. ac.in
  4. rbi.org.in
  5. bankofindia.co.in
  6. ncode.in
  7. tcs.co.in

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]