インドの認証局長官(インドCCA)は、国立情報学センター認証局によるGoogleへの不正なデジタル証明書の問題の調査を開始しました。 このような証明書は、偽のドメインが正当なものであるとサービスに思い込ませるために使用できた可能性があります。
Googleはセキュリティブログのブログ投稿で、不正な証明書がMicrosoftのルートストアに含まれていること、つまりSSLを使用するWindowsプログラムの大部分がこれらの証明書を信頼することを示しています。
除外には、独自のルートストアを使用するFirefoxと、追加のTLS / SSLセキュリティ手段を使用して不正な証明書からユーザーを保護するChromeが含まれます。 さらに、Googleは、CRLSetプッシュを使用してChromeでこれらの証明書をブロックしました。 Googleは、Chrome OS、Android、iOS、OS Xを含む他のプラットフォーム上のChromeも、インドのCCA証明書がこれらのルートストアに含まれていないため、影響を受けないことを明らかにしました。
GoogleはインドCCAと連絡を取り、CCCはその後のCRLSetプッシュを展開してNIC証明書を失効させ、すべてのNICドメインにアクセスできなくなりました。 NICAAは、しばらくの間、デジタル証明書の発行を中止し、そのWebサイトに次のメッセージを掲載しています。
技術的な理由により、NICCAは現在のところ証明書を発行していません。 すべての操作はしばらく停止されており、すぐに再開されることはありません。 DSC申請書は、運用が再開されるまで受け付けられません。その後、さらに指示が発行されます。 ご不便をおかけして申し訳ございません。
出典:Google
