Väärä varmenne Googlen osoitteille

Google Chromessa oleva, Googlen omia varmenteita tarkkaileva mekanismi havaitsi väärän varmenteen jouluaattona 24.12.2012. Varmenne oli luotu osoitteille *.google.com eli kaikille google.com -loppuisille osoitteille. Tällaista väärää varmennetta voidaan käyttää hyväksi erilaisissa urkintahyökkäyksissä, koska muut selaimet eivät tunnista sivua väärennetyksi. Tämä on mahdollista, koska jokainen juurivarmenne kelpaa kaikkien sivustojen varmenteiden allekirjoittajaksi: juurivarmenteilla ei ole keskinäistä hierarkiaa. Vaikka palveluntarjoaja olisi hankkinut varmenteen joltakulta tietyltä varmentajalta, minkä tahansa muun luotettavaksi määritellyn varmentajan myöntämä varmenne on oikean varmenteen kanssa samanarvoinen. Väärennettyjen sivustojen avulla olisi voitu kerätä esimerkiksi käyttäjätunnuksia ja salasanoja Googlen palveluihin, tai suorittaa SSL-Mitm -tyyppinen hyökkäys, jossa salattua liikennettä voitaisiin avata käyttäjän huomaamatta.

Varmenteen myöntäjänä oli turkkilainen varmenteita myöntävä taho TURKTRUST. TURKTRUST ilmoitti myöntäneensä vahingossa kaksi keskitason varmennetta, toisen *.EGO.VOG.TR osoitteille ja toisen e-islem.kktcmerkezbankasi.org -osoitteelle. Näistä ensimmäistä käytettiin myöntämään varmenne *.google.com -osoitteille. Siitä minkälaisissa hyökkäyksissä varmennetta on käytetty ei ole tällä hetkellä tietoa.

Google ja Mozilla ovat ilmoittaneet poistaneensa varmenteet selaimistaan Chromesta ja Firefoxista. Myös Microsoft on päivittänyt Certificate Trust listaansa (CTL) poistamalla varmenteen listalta. Päivitys tulee kaikkiin Windowsin tuettuihin versioihin automaattisesti.

Vastaavanlainen väärä varmenne onnistuttiin luomaan myös vuonna 2011 alankomaalaisen Diginotarin palvelun kautta. Diginotarin tapauksessa varmenne luotiin tietomurron avulla. Vääriä varmenteita myönnettiin myös aiemmin huhtikuussa 2011 tietoturvayritys Comodon tytäryhtiöön tehdyn tietomurron avulla.

Varmenteisiin liittyviä heikkouksia ja väärennettyjä varmenteita on käsitelty myös CERT-FI:n Tietoturvakatsaus 3b/2011:ssä.