De ongeautoriseerde digitale certificaten zijn afgelopen woensdag ontdekt. Ze zijn uitgeven door het NIC (National Informatics Centre) van India, dat verschillende tussenliggende CA-certificaten heeft die vertrouwd worden door de Indian Controller of Certifying Authorities (India CCA).

Microsoft Root Store

Volgens Google hebben de Indiase certificaten betrekking op de Microsoft Root Store. Daardoor worden ze vertrouwd door de meeste programma's die op Windows draaien, inclusief Internet Explorer en Chome. Firefox is niet getroffen, omdat het een eigen root store gebruikt.

Hetzelfde geldt voor andere root stores die deze certificaten bevatten. Wat betekent dat Chrome op andere besturingssystemen en ook Chrome OS, Android, iOS en OS X niet kwetsbaar zijn.

Na de ontdekking heeft Google direct certificaatuitgever NIC, India CCA en Microsoft ingelicht over het incident. Met een zogenaamde CRLSet push zijn de bewuste certificaten in Chrome geblokkeerd. Op 3 juli heeft India CCA laten weten dat alle intermediate certificaten zijn ingetrokken, schrijft Google op zijn securityblog.

Misbruik?

Het incident wordt nu verder onderzocht. Google zegt geen indicatie te hebben dat er grootschalig misbruik is gemaakt, zoals destijds wel gebeurde bij de gehackte certificaatverstrekker DigiNotar. Er is dan ook geen advies voor gebruikers om massaal wachtwoorden te veranderen.

Lees verder: Google rondt 2048-bit project af