Indere udstedte falske Google-certifikater

Artiklen blev oprindeligt publiceret den 31/7/2014

I sommerferien blev der fundet falske servercertifikater for domæner tilhørende Google, Yahoo og andre. Angribere udstedte dem via en indisk udbyder, som de havde hacket.

Google opdagede de falske certifikater. De er udstedt af National Informatics Centre (NIC) i Indien, som bestyrer flere mellemliggende certifikater, der er signeret af landets Controller of Certifying Authorities (India CCA).

Disse certifikater har de fleste pc'er tillid til, fordi deres rodcertifikater er lagret i Microsoft Root Store. Dermed vil browsere som Internet Explorer og Chrome kunne narres til at stole på dem. Firefox har sit eget certifikatlager, der ikke indeholder de pågældende certifikater.

Google fjernede tilliden til certifikaterne i Chrome den 2. juli.

Microsoft udsendte den 10. juli en advarsel om problemet og opdaterede sin Certificate Trust list (CTL) for alle versioner af Windows. Det fjernede tilliden til certifikaterne.

I en fremtidig version af Chrome vil Google begrænse, hvilke domæner det indiske CCA-rodcertifikat får lov til at dække.

Links