Maximizando sua infra-estrutura através da virtualização
Google alerta que os certificados SSL desonestos foram emitidos pelo Centro de Informática Nacional da Índia (NIC): estas certs pode ser usado por servidores para mascarar sites como Google e legítimas espionar ou adulterar comunicações criptografadas dos usuários.
De acordo com este post no blog pela equipe de segurança do Google, os Googlers notado certificados não autorizadas para vários domínios do Google apareceram última quarta-feira - e traçou-los de volta para NIC.
O que é preocupante é o emissor detém vários certificados CA intermediários que são confiáveis pelo Controlador indiano de Autoridades Certificadoras (Índia CCA) e também algumas empresas ocidentais.
"Os certificados Índia CCA estão incluídas no Microsoft Root loja e, portanto, são confiáveis para a grande maioria dos programas em execução no Windows, incluindo o Internet Explorer e Chrome. Firefox não é afetado porque ele usa sua própria loja de raiz que não inclua esses certificados ", disse o engenheiro de segurança do Google Adam Langley.
"Nós não temos conhecimento de qualquer outras lojas de raiz que incluem os certificados Índia CCA, assim Chrome em outros sistemas operacionais, Chrome OS, Android, iOS e OS X não são afetados. Além disso, o Chrome no Windows não teria aceite os certificados para o Google locais por causa da pinagem de chave pública, embora possam existir certificados mis-emitidos para outros sites. "
Os engenheiros do Google alertou ambas as agências indianas e Microsoft sobre o problema, e os certificados falsos foram revogadas no dia seguinte. Entretanto Google revogou todos os certificados usando função CRLSet do Chrome e diz que seus produtos estão em claro; parece os usuários da Microsoft estão agora também coberto.
"Estamos cientes dos certificados de terceiros emitidos-mis e não detectaram nenhum dos certificados a emitir contra domínios da Microsoft," disse um porta-voz Redmond The Register. "Estamos tomando as precauções necessárias para ajudar a garantir que nossos clientes permaneçam protegidos."
A Índia CCA agora está em execução uma investigação completa para determinar exatamente o que aconteceu com levar a certificados a emitir, mas não é a primeira vez que as autoridades de certificação ou foram aliciadas para a emissão de certificados de desonesto, ou agredidos até a fazê-lo. Nem possibilidade tranquiliza Mikko Hypponen da F-Secure. ®
Eu não tenho certeza de qual explicação seria pior; que o Centro Nacional de Informática da Índia foi invadido. Ou que eles não estavam.
- Mikko Hypponen (@ mikko) 08 de julho de 2014 
Nenhum comentário:
Postar um comentário