Google apanha governo Francês a criar certificados digitais não autorizados.

A divisão Francesa de Cyberdefesa da Agência Nacional de segurança dos sistemas de informação (ANSSI), foi detectada como estando a criar certificados digitais não autorizados para vários domínios da Google.

certificados digitais

No blog de segurança da Google refere-se que uma autoridade certificada intermediária criou certificados de segurança, referido a mesma como sendo a ANSSI.

Estes certificados CA intermediários possuem a total autoridade para poderem passar por qualquer website que desejem.

Os certificados não-autorizados que a Google detectou terão, na verdade, sido emitidos por um intermediário que foi entretanto bloqueado.

Publicidade

Retomando o nosso artigo

A ANSSI  veio posteriormente revelar que os certificados fraudulentos criados foram o resultado de erro humano criado durante o processo de remodelação e reforço da sua própria segurança, referindo que o erro não teria tido qualquer consequência na segurança geral da rede, seja para a administração Francesa, seja para o público em geral.

Mas a Google refere que o certificado foi usado num aparelho comercial e numa rede privada para inspeccionar tráfego encriptado. E apesar de a Google referir que os utilizadores dessa rede saberem o que estava a ocorrer, a prática em si é uma violação das próprias regras de procedimento da ANSSI.

A Google aproveita assim o incidente para reforçar a necessidade do seu projecto de Transparência de certificados, e que tem como objectivo a correcção das falhas no sistema de certificados SSL que podem resultar em situações deste género.

Publicidade

Posts Relacionados