Google znajduje nieautoryzowany certyfikat dla domeny google.com

Google podjął kroki w celu usunięcia potencjalnych luk w zabezpieczeniach spowodowanych przez fałszywy certyfikat dla swojej domeny google.com, odkryty pod koniec grudnia.

Certyfikat został błędnie wydany przez pośredni urząd certyfikacji (CA) z powrotem do TurkTrust, tureckiego CA.

"Pośrednie certyfikaty CA mają pełne uprawnienia CA, więc każdy, kto ma taki certyfikat, może go użyć do stworzenia certyfikatu dla dowolnej strony, którą chcą podszyć się pod siebie" - napisał Adam Langley, inżynier oprogramowania Google, w czwartek na blogu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Google wykrył istnienie certyfikatu w Wigilię, zaktualizował swoją przeglądarkę Chrome w następnej kolejności dzień, aby zablokować pośredni urząd certyfikacji i powiadomić TurkTrust i innych twórców przeglądarki o problemie.

TurkTrust następnie przeprowadził własne dochodzenie i odkrył, że w sierpniu 2011 r. błędnie wydał dwa pośrednie certyfikaty CA organizacjom, które powinny zamiast tego otrzymać regularny SSL certyfikaty, zgodnie z Langley.

Google następnie ponownie zaktualizował Chrome, aby zablokować drugi certyfikat CA i ponownie powiadomił innych dostawców przeglądarki.

"Nasze działania rozwiązały natychmiastowy problem dla naszych użytkowników. Biorąc pod uwagę nasilenie sytuacji, w styczniu zaktualizujemy Chrome ponownie, aby nie podawać już statusu Extended Validation dla certyfikatów wydanych przez TurkTrust, chociaż połączenia z serwerami HTTPS zatwierdzonymi przez TurkTrust mogą być nadal dozwolone, "napisał Langley.

Google może w odpowiedzi na ten problem dodał dodatkowe kroki

Rzecznik prasowy Google powiedział za pośrednictwem poczty e-mail, że chociaż TurkTrust omyłkowo wydał dwa pośrednie certyfikaty, tylko jeden został użyty do wygenerowania nieautoryzowanego certyfikatu.

"Wierzymy, że było jeden przypadek użycia wewnętrznego certyfikatu w sieci firmowej ", powiedział rzecznik.