|
На 2-ри юли тази година Google разкри няколко подправени цифрови сертификати за своите домейни, издадени от Националния център по сертифициране (NIC) на Индия. Съществува вероятност, че NIC е издал подобни сертификати и за други сайтове, а не само за Google. 
Сертификатите на индийския NIC влизат в каталога Indian Controller of Certifying Authorities, който е част от коренния каталог Microsoft Root Store. Ето защо фалшивите сертификати се приемат от много голям брой програми за Windows, включително браузърите Internet Explorer и Chrome. Само браузърът Firefox използва свой root-каталог за издаване на сертификати, а не Microsoft Root Store.Преди няколко години също имаше подобен инцидент и тогава Google започна да съставя свой каталог и да "прикача" своите сертификати към браузъра Chrome (функцията certificate pinning).Интернет-гигантът уведоми за този инцидент India NIC, India CCA и Microsoft. Индийският център прекрати на 3-ти юли тяхното действие и започна собствено разследване.Фалшивите сертификати могат да се използват за внедряване на вреден код и особено за преднамерено осъществяване на MiTM-атаки по правителствени поръчки. Подобна подмяна на сертификат е много трудно да бъде разкрита, като в този случай специалистите на Google са се възползвали именно от функцията certificate pinning. |
|
