Google已采取措施,以消除12月底发现的其google.com域的欺诈性证书所产生的潜在安全漏洞。
证书由中间证书颁发机构CA),链接回土耳其的CA.
“中间CA证书具有CA的全部权限,因此任何拥有该证书的人都可以使用它来为他们希望假冒的任何网站创建证书,”Adam Langley写道,谷歌软件工程师,周四在博客文章中。
[进一步阅读:如何从Windows PC删除恶意软件]Google在圣诞节前夕检测到存在该证书,下一个更新了Chrome浏览器然后TurkTrust进行了自己的调查,发现2011年8月,它错误地向组织发布了两个中间CA证书,而这些证书应该代之以定期SSL根据Langley的说法,Google再次更新了Chrome来封锁第二个CA证书,并再次通知其他浏览器供应商。“我们的行为解决了我们用户眼前的问题。考虑到情况的严重性,我们将在1月份再次更新Chrome,以便不再为TurkTrust颁发的证书指示扩展验证状态,尽管可能继续连接到TurkTrust验证的HTTPS服务器,“Langley写道。 “Google发言人通过电子邮件表示,虽然TurkTrust错误地发布了两个中间证书,但只有一个用于生成未经授权的证书。”
我们相信该公司的网络内部使用了一种证书,“发言人说。”