Advarsel: Falske Google-certifikater i omløb

Der er udstedt falske sikkerhedscertifikater til flere Google-domæner, advarer søgegiganten.

I fredags blev Google gjort opmærksom på uautoriserede digitale certifikater for flere Google-domæner, oplyser virksomheden på dens sikkerhedsblog.

Læs også: Opdatér nu: Microsoft lukker for falsk Live-certifikat

Certifikaterne er udstedt af en kinesisk virksomhed med navnet MCS Holdings. MCS Holdings er en såkaldt intermediær certifikatudsteder, som havde fået uddelegeret autorisation til udstedelse af sikkerhedscertifikater af CNNIC (China Internet Network Information Center).

De falske certifikater inkluderer hovedparten af Googles domæner, og de fleste browsere vil stole på certifikatet. Chrome samt Firefox 33 og nyere vil automatisk afvise certifikaterne ved hjælp af sikkerhedsfunktionen public key pinning, men Google kan ikke afvise, at misbrugte certifikater eksisterer for andre domæner.

Læs også: Bevidst svækket 90'er-kryptering rammer NSA-hjemmeside

Ifølge CNNIC havde MCS oplyst, at de udelukkende ville udstede certifikater til domæner, de selv ejede. Det har altså vist sig ikke at være tilfældet. Google konkluderer derfor, at CNNIC har givet en virksomhed muligheden for at håndtere certifikater, selv om virksomheden slet ikke var egnet til det.

Der er foreløbigt ingen tegn på, at certifikaterne er blevet misbrugt, og Google anbefaler ikke, at man skifter adgangskode.

Du kan læse mere om sagen på Googles blog

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere