Le contrôleur indien des autorités de certification (India CCA) a ouvert une enquête sur la question des certificats numériques non autorisés adressés à Google par l'autorité de certification du centre informatique national. Un tel certificat aurait pu être utilisé pour tromper un service en lui faisant croire qu'un faux domaine était légitime.
Dans un article de blog sur son blog de sécurité, Google a déclaré que les certificats non autorisés étaient inclus dans le magasin racine de Microsoft, ce qui signifie qu'une majorité des programmes Windows qui utilisent SSL font confiance à ces certificats.
Les exclusions incluent Firefox, qui utilise son propre magasin de clés, et Chrome, qui utilise des mesures de sécurité TLS / SSL supplémentaires pour protéger les utilisateurs des certificats non autorisés. De plus, Google a bloqué ces certificats dans Chrome avec un push CRLSet. Google a également précisé que Chrome sur d'autres plates-formes, notamment Chrome OS, Android, iOS et OS X, n'était pas affecté, car les certificats CCA indiens ne sont pas inclus dans ces magasins racine.
Google était en contact avec l'ACC en Inde, qui a lancé une nouvelle campagne CRLSet pour révoquer les certificats de la carte réseau, rendant ainsi tous les domaines de la carte inaccessibles. La NICAA a depuis cessé de délivrer des certificats numériques et affiche le message suivant sur son site Web:
Pour des raisons techniques, la NICCA ne délivre pas de certificats pour le moment. Toutes les opérations sont arrêtées depuis un certain temps et ne devraient pas reprendre bientôt. Les formulaires de candidature DSC ne seront pas acceptés avant la reprise des opérations et des instructions complémentaires seront données par la suite. Le désagrément causé est regretté.
Source: Google
