Car-tech

Google finner uautorisert sertifikat for google.com-domene

Slik peker du domenet ditt til ny Ip adresse

Slik peker du domenet ditt til ny Ip adresse
Anonim

Google har tatt skritt for å lukke potensielle sikkerhetshull opprettet av et bedragerisk sertifikat for sitt google.com-domene, oppdaget i slutten av desember.

Sertifikatet ble feilaktig utstedt av en mellomliggende sertifikatmyndighet CA) kobler tilbake til TurkTrust, en tyrkisk CA.

"Intermediate CA-sertifikater har full autoritet fra CA, slik at alle som har en, kan bruke den til å lage et sertifikat for ethvert nettsted de ønsker å etterligne," skrev Adam Langley, en Google-programvareingeniør, i et blogginnlegg torsdag.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Google oppdaget eksistensen av sertifikatet på julaften, oppdaterte sin Chrome-nettleser neste dag for å blokkere mellomliggende CA og meldte TurkTrust og andre nettlesere om problemet.

TurkTrust gjennomførte deretter sin egen undersøkelse og fant ut at i august 2011 hadde det feilaktig utstedt to mellomliggende CA-sertifikater til organisasjoner som i stedet skulle ha mottatt vanlig SSL sertifikater, ifølge Langley.

Google oppdaterte Chrome deretter igjen for å blokkere det andre CA-sertifikatet og igjen varslet andre nettlesere.

"Våre handlinger løste det umiddelbare problemet for brukerne våre. Med tanke på alvorlighetsgraden, vil vi oppdatere Chrome igjen i januar for ikke lenger å angi utvidet valideringsstatus for sertifikater utstedt av TurkTrust, men koblinger til TurkTrust-godkjente HTTPS-servere kan fortsatt tillates, "skrev Langley.

Google kan ta ytterligere skritt i reaksjon på dette problemet, la han til.

En talsmann fra Google sa via e-post at selv om TurkTrust feilaktig utstedte to mellomliggende sertifikater, ble det bare brukt én til å generere et uautorisert sertifikat.

"Vi tror det var Ett tilfelle av att sertifikatet blir brukt internt på et selskaps nettverk, sier talsmannen.