Google kunngjorde i går at selskapet nettleser, Chrome, oppdaget og blokkerte et ikke-autorisert, digitalt sertifikat for domenet «*.google.com». Dette ble gjort på julaften i fjor.
Det viste seg først at sertifikatet var blitt utstedt av en «intermediate certificate authority» (CA), en slags stedfortredende sertifikatutsteder, en rettighet som var blitt gitt av den tyrkiske sertifikatmyndigheten Türktrust.
Ifølge Google har sertifikatet til slike stedfortredende eller mellomliggende CA-er de samme fullmakter som CA-en selv. De som har et slikt sertifikat kan bruke det til å lage et sertifikat for ethvert nettsted de ønsker å utgi seg for å være.
Chrome ble første juledag oppdatert for å blokkere alle sertifikater som har blitt utgitt av den mellomliggende CA-en. Etter å ha blitt varslet, skal Türktrust ha funnet ut at selskapet i august 2011 hadde utstedt to sertifikater for mellomliggende CA-er til organisasjoner som skulle ha mottatt ordinære SSL-sertifikater.
Dermed måtte ytterligere et mellomliggende CA-sertifikat blokkeres. Google vil dessuten, i en kommende oppdatert av Chrome, fjerne Extended Validation-statusen til samtlige sertifikater utstedt av Türktrust.
Google skal underveis ha varslet de øvrige nettleserleverandørene. I alle fall Microsoft og Mozilla har kunngjort at de har eller vil gjøre lignende tiltak i henholdsvis Internet Explorer og Firefox.
I disse kunngjøringene opplyses det også at i alle fall ett av de feilutstedte, mellomliggende sertifikatene har blitt brukt aktiv i «man-in-the-middle»-angrep mot domener som kundene ikke har legitim eierskap til eller kontroll over.
Les også:
- [03.02.2012] Verisign tiet om innbruddsbølge
- [28.11.2011] – Spioner og kriminelle har ødelagt SSL
- [31.08.2011] Sertifikat-innbruddet holdt skjult i fem uker
- [30.08.2011] Google.com-sertifikat på avveie
- [01.04.2011] Flere angrep mot SSL-utsteder
- [25.03.2011] Digitale sertifikater kapret til Iran