Бесплатно Экспресс-аудит сайта:

10.07.2014

Индийский NIC выдавал поддельные сертификаты для доменов Google

По данным Google, Государственный центр информационных технологий Индии (National Informatics Centre, NIC) выдал поддельные SSL-сертификаты. Как следует из записи в блоге отдела ИБ, сертификаты можно использовать на серверах для того, чтобы выдавать вредоносные сайты за легитимные и перехватывать зашифрованные данные пользователей.

В Google говорят, что опасности подвержены только пользователи Windows-устройств.

Специалисты поискового гиганта обнаружили активность поддельных сертификатов на прошлой неделе. По утверждениям Адама Лэнгли (Adam Langley), NIC подписал сертификаты для «ряда доменов Google». Ведомство также имеет несколько «сертификатов, подписанных промежуточными центрами сертификации», которым доверяет индийский CCA, а также несколькими западными компаниями.

Как следует из публикации в блоге поискового гиганта, индийские CCA сертификаты содержатся в доверенном корневом хранилище Microsoft. Поэтому большинство программ для Windows, в частности, Internet Explorer и Chrome, доверяют этим сертификатам. Пользователи Firefox не находятся в зоне риска, поскольку обозреватель использует собственное хранилище сертификатов.

В компании уверяют, что пользователей Chrome OS, Android, iOS и OS X действия NIC не затронут.

Эксперты компании уведомили NIC и Microsoft о существовании проблемы, а сами поддельные сертификаты были отозваны.

Отметим, что подобное происходит уже не впервые. Так, еще в декабре текущего года Государственное казначейство Франции выдало нескольким доменам техногиганта поддельные сертификаты.