Google находит несанкционированный сертификат для домена google.com

Google предприняла шаги, чтобы закрыть потенциальные дыры безопасности, созданные мошенническим сертификатом для своего домена google.com, обнаруженного в конце декабря.

Сертификат был ошибочно выпущен промежуточным центром сертификации (CA), обращаясь к TurkTrust, турецкому CA.

«Промежуточные сертификаты CA несут полный авторитет ЦС, поэтому любой, у кого есть, может использовать его для создания сертификата для любого веб-сайта, который они хотят олицетворять», - написал Адам Лэнгли, разработчик программного обеспечения Google, в четверг в блоге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Google обнаружил наличие сертификата в канун Рождества, обновил браузер Chrome в следующем чтобы заблокировать промежуточную ЦС и уведомили TurkTrust и других разработчиков браузеров о проблеме.

TurkTrust затем провела собственное расследование и выяснила, что в августе 2011 года она ошибочно выдала два промежуточных сертификата CA организациям, которые должны были вместо этого получать обычный SSL сертификаты, согласно Лэнгли.

Google затем обновил Chrome еще раз, чтобы заблокировать второй сертификат ЦС, и снова уведомил других поставщиков браузеров.

«Наши действия касались непосредственной проблемы для наших пользователей. Учитывая серьезность ситуации, мы снова обновим Chrome в январе, чтобы больше не указывать статус расширенного подтверждения для сертификатов, выданных TurkTrust, хотя по-прежнему могут быть разрешены подключения к серверам HTTPS с проверкой на TurkTrust, - писал Лэнгли.

Google может предпринять дополнительные шаги в ответ на эту проблему, добавил он.

Представитель Google сказал по электронной почте, что, хотя TurkTrust ошибочно выдал два промежуточных сертификата, только один был использован для создания несанкционированного сертификата.

«Мы считаем, что один из случаев, когда сертификат используется внутри компании в сети », - сказал представитель.