Nel mese di marzo, è emersa la presenza di certificati digitali non autorizzati per diversi domini di Google. I certificati sono stati emessi da un’autorità di certificazione intermedia apparentemente detenuta da una società chiamata MCS Holdings. Questo certificato intermedio è stato emesso dalla CNNIC.
CNNIC è incluso in tutti i principali root store e quindi i certificati rilasciati sarebbero riconosciuti da quasi tutti i browser e sistemi operativi. Chrome su Windows, OS X e Linux, ChromeOS e Firefox 33 e altri avrebbero rifiutato questi certificati, anche se probabilmente esistono certificati rilasciati per altri siti.
Google ha prontamente avvisato CNNIC e gli altri principali browser dell’incidente ed ha bloccato il certificato di MCS Holding in Chrome. CNNIC ha risposto spiegando di avere un contratto con MCS Holding sulla base del fatto che MCS avrebbe emesso solo i certificati per i domini che avevano registrato.
Questi dispositivi intercettano le connessioni sicure e a volte sono utilizzati dalle aziende il traffico sicuro dei propri dipendenti per motivi di sicurezza o legali. I computer dei dipendenti devono normalmente essere configurati a fidarsi di un proxy, ma nel caso di un proxy presunto si assiste ad una grave violazione del sistema.
Gli utenti di Chrome non hanno bisogno di intraprendere alcuna azione in termini di sicurezza. Non ci sono alcune indicazioni di un abuso e non viene richiesto di modificare le password. In questo momento, Google sta valutando quali ulteriori azioni sono appropriate.
Questo episodio evidenzia come il Certificato di Trasparenza sia fondamentale per proteggere la sicurezza dei certificati in futuro.