Google menemukan sertifikat yang tidak sah untuk domain google.com

Google telah mengambil langkah-langkah untuk menutup lubang keamanan potensial yang dibuat oleh sertifikat penipuan untuk domain google.com-nya, ditemukan pada akhir Desember.

Sertifikat itu dikeluarkan secara salah oleh otoritas sertifikat menengah (CA) yang menghubungkan kembali ke TurkTrust, sebuah CA.

“Sertifikat CA Perantara membawa kewenangan penuh dari CA, sehingga siapa pun yang memilikinya dapat menggunakannya untuk membuat sertifikat untuk situs web apa pun yang ingin mereka tiru,” tulis Adam Langley, insinyur perangkat lunak Google, dalam posting blog hari Kamis.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Google mendeteksi keberadaan sertifikat pada Malam Natal, memperbarui browser Chrome-nya berikutnya hari untuk memblokir CA menengah dan memberitahu TurkTrust dan pembuat browser lain tentang masalah.

TurkTrust kemudian melakukan penyelidikan sendiri dan menemukan bahwa pada bulan Agustus 2011 itu keliru mengeluarkan dua sertifikat CA menengah ke organisasi yang seharusnya menerima SSL biasa sertifikat, menurut Langley.

Google kemudian memperbarui Chrome lagi untuk memblokir sertifikat CA kedua dan memberi tahu vendor browser lain lagi.

“Tindakan kami mengatasi masalah langsung bagi pengguna kami. Mengingat parahnya situasi, kami akan memperbarui Chrome lagi pada bulan Januari untuk tidak lagi menunjukkan status Validasi Diperpanjang untuk sertifikat yang dikeluarkan oleh TurkTrust, meskipun koneksi ke server HTTPS yang divalidasi TurkiTrust dapat terus diizinkan, ”Langley menulis.

Google dapat mengambil langkah tambahan sebagai reaksi terhadap masalah ini, tambahnya.

Seorang juru bicara Google mengatakan melalui e-mail bahwa meskipun TurkTrust secara keliru mengeluarkan dua sertifikat menengah, hanya satu yang digunakan untuk menghasilkan sertifikat yang tidak sah.

“Kami percaya ada satu kasus sertifikat digunakan secara internal di jaringan perusahaan, ”kata juru bicara itu.