El Contralor de las Autoridades de Certificación de la India (CCA de India) ha iniciado una investigación sobre el tema de los certificados digitales no autorizados a Google por parte de la Autoridad de Certificación del Centro Nacional de Informática. Tal certificado podría haber sido usado para engañar a un servicio haciéndole creer que un dominio falso era legítimo.
En una publicación de blog en su blog de seguridad, Google declaró que los certificados no autorizados se incluyeron en la Tienda Raíz de Microsoft, lo que significa que la mayoría de los programas de Windows que usan SSL confiarían en estos certificados.
Las exclusiones incluyen Firefox, que usa su propia tienda raíz, y Chrome, que usa medidas de seguridad TLS / SSL adicionales para proteger a los usuarios de los certificados no autorizados. Además, Google bloqueó estos certificados en Chrome con una inserción CRLSet. Google también aclaró que Chrome en otras plataformas, que incluyen Chrome OS, Android, iOS y OS X, no se vio afectado ya que los certificados CCA indios no están incluidos en estos almacenes raíz.
Google se puso en contacto con el CCA de India, que lanzó un impulso posterior CRLSet para revocar los certificados de NIC, haciendo que todos los dominios de NIC sean inaccesibles. La NICAA ha dejado de emitir certificados digitales por el momento y tiene el siguiente mensaje en su sitio web:
Debido a razones técnicas, NICCA no está emitiendo certificados a partir de ahora. Todas las operaciones se han detenido por algún tiempo y no se espera que se reanuden pronto. Los formularios de solicitud de DSC no serán aceptados hasta que se reanuden las operaciones y posteriormente se emitirán más instrucciones. El inconveniente causado es lamentado.
Fuente: Google
