Google waarschuwt internetgebruikers voor malafide Google-certificaten die door een bedrijf uit Egypte zijn uitgegeven en konden worden gebruikt om Man-in-the-Middle- en phishingaanvallen op internetgebruikers uit te voeren, om zo wachtwoorden en de inhoud van versleuteld verkeer te onderscheppen. SSL-certificaten worden onder andere gebruikt voor het versleutelen van het verkeer tussen websites en bezoekers en het identificeren van websites.

Het bedrijf dat de malafide SSL-certificaten uitgaf is MCS Holdings, een zogeheten "intermediate" certificaatautoriteit (CA), die aan de Chinese certificaatautoriteit CNNIC is gekoppeld. SSL-certificaten die van een intermediate certificaatautoriteit afkomstig zijn hebben de volledige autoriteit van de CA waaronder ze vallen. CNNIC bevindt zich in alle grote "certificaat root stores" waardoor de onterecht uitgegeven Google-certificaten door bijna alle browsers en besturingssysteem zouden worden vertrouwd.

Chrome op Windows, OS X en Linux, ChromeOS en Firefox 33 en nieuwer zouden het certificaat vanwege certificaatpinning hebben geweigerd. Volgens Google zijn er waarschijnlijk ook certificaten voor andere websites uitgegeven die mogelijk niet door certificaatpinning worden herkend. Via certificaat pinning kunnen websites aangeven door welke CA hun SSL-certificaat is uitgegeven. De browser zal vervolgens deze certificaten op een whitelist plaatsen. Wordt voor de website een SSL-certificaat gebruikt dat door een andere CA is uitgegeven, dan slaat de browser alarm. Browsers zoals Chrome en Firefox ondersteunen op dit moment alleen nog pinning voor een aantal grote websites.

Proxy

Naar aanleiding van de malafide certificaten, die op 20 maart werden ontdekt, benaderde Google CNNIC en kreeg te horen dat MCS Holdings alleen certificaten mocht uitgegeven voor domeinen die ze zelf hadden geregistreerd. Dat bleek het bedrijf echter niet te hebben gedaan. MCS Holdings levert proxy-apparaten en firewalloplossingen waarmee organisaties het versleutelde verkeer van werknemers via zelf gesigneerde certificaten kunnen onderscheppen. Normaliter moeten de kantoorcomputers worden ingesteld om de proxy te vertrouwen, maar in dit geval was dat door de onterecht uitgegeven certificaten niet nodig.

Google ziet overeenkomsten met eerder onterecht uitgegeven certificaten in 2013 door de Franse CA ANSSI. De internetgigant hekelt dan ook dat CNNIC de bevoegdheid voor het aanmaken van SSL-certificaten heeft toegekend aan een bedrijf dat hier niet voor geschikt was. Gebruikers van Chrome hoeven niets te doen om tegen de malafide certificaten beschermd te zijn, terwijl Firefoxgebruikers zullen moeten wachten op de komst van Firefox 37 waarin het certificaat is ingetrokken. Deze versie moet op 31 maart verschijnen.