O controlador indiano das autoridades de certificação (Índia CCA) iniciou uma investigação sobre a emissão de certificados digitais não autorizados ao Google pela Autoridade Certificadora do Centro Nacional de Informática. Esse certificado poderia ter sido usado para induzir um serviço a pensar que um domínio falso era legítimo.
Em uma publicação em seu blog de segurança, o Google afirmou que os certificados não autorizados foram incluídos na Root Store da Microsoft, o que significa que a maioria dos programas do Windows que usam SSL confiariam nesses certificados.
As exclusões incluem o Firefox, que usa seu próprio repositório raiz, e o Chrome, que usa medidas adicionais de segurança TLS / SSL para proteger os usuários contra certificados não autorizados. Além disso, o Google bloqueou esses certificados no Chrome com um envio CRLSet. O Google também esclareceu que o Chrome em outras plataformas, que incluem o Chrome OS, Android, iOS e OS X, não foi afetado, pois os certificados CCA indianos não estão incluídos nessas lojas raiz.
O Google entrou em contato com o CCA da Índia, que lançou um push CRLSet subsequente para revogar os certificados da NIC, tornando todos os domínios da NIC inacessíveis. Desde então, a NICAA deixou de emitir certificados digitais e tem a seguinte mensagem em seu site:
Por motivos técnicos, a NICCA não está emitindo certificados a partir de agora. Todas as operações foram interrompidas por algum tempo e não devem ser retomadas em breve. Os formulários de inscrição do DSC não serão aceitos até que as operações sejam retomadas e mais instruções sejam emitidas a partir de então. A inconveniência causada é lamentada.
Fonte: Google