กูเกิลเตือนใบรับรองดิจิตอลปลอมจากอินเดีย

กูเกิลเตือนว่าประกาศว่าเมื่อสัปดาห์ที่ผ่านมา มีใบรับรองจาก National Informatics Centre (NIC) หน่วยงานของรัฐบาลอินเดียออกใบรับรองในโดเมนของกูเกิลมาหลายฉบับ

ใบรับรองของ NIC ได้รับการรับรองโดย India CCA อีกทีหนึ่ง ตัว India CCA นั้นอยู่ในรายชื่อของ root CA ที่ไมโครซอฟท์ยอมรับ ทำให้ใบรับรองโดเมนของกูเกิลที่ออกโดย NIC ใช้งานได้ใน Internet Explorer และ Chrome ขณะที่ไฟร์ฟอกซ์ใช้ API ของตัวเอง ส่วน Chrome นั้นล็อกใบรับรองของตัวเอง (public-key pinning) ไว้ในหลายโดเมนทำให้ไม่ได้รับผลกระทบจากปัญหานี้ ส่วนระบบปฎิบัติการอื่นๆ ไม่ได้รับผลกระทบแต่อย่างใด

กูเกิลอัพเดต CRL ของตัวเองเพื่อยกเลิกใบรับรองพร้อมกับแจ้งทาง India CCA ซึ่งทำให้ใบรับรองของ NIC ถูกยกเลิกไปด้วยเช่นกัน ระหว่างนี้ทาง India CCA กำลังสอบสวนสาเหตุ

ที่มา - Google Online Security

Google, Security, SSL