I slutet av december upptäckte Google att ett falskt säkerhetscertifikat för företagets domännamn google.com har börjar cirkulera på internet. Falska säkerhetscertifikat innebär en allvarlig säkerhetsrisk och gör det möjligt för bedragare att utföra olika typer av attacker som utger sig komma från Google.

Det falska säkerhetscertifikatet utfärdades av misstag av det turkiska domänhanteringsföretaget Turktrust. Turktrust agerar som en underleverantör för säkerhetscertifikat på internet.

– Underleverantörer av säkerhetscertifikat har befogenhet att utfärda certifikat för vilken domän som helst, skriver Googles ingenjör, Adam Langley, i ett blogginlägg.

Google upptäckte det falska certifikatet på julafton och uppdaterade Chrome redan dagen efter så att det inte godkänner det falska säkerhetscertifikatet. Företaget har även informerat Turktrust och övriga tillverkare av webbläsare om problemet.

Turktrust har undersökt fallet och upptäckte att företaget i augusti 2011 utfärdade två så kallade rotcertifikat till organisationer som egentligen endast skulle ha fått ssl-certifikat.

Enligt Chester Wisniewski på säkerhetsföretaget Sophos är det här ”en stor sak” och kan leda till allvarliga säkerhetsproblem inte alla webbläsare uppdateras.

– Vad som hände var att Turktrust av misstag gav ut ett par rotcertifikat till ett företag. Minst ett av de båda certifikaten har sedan missbrukats, säger Chester Wisniewski.

Både Microsoft och Mozilla känner till problemet och har utfärdat varningar på sina respektive webbplatser. För att skydda Windowsanvändare har Microsoft skickat ut uppdateringar till samtliga versioner av Windows.

Har du ställt in Windows Update för automatiska uppdateringar behöver du inte gör något då uppdateringen installeras i bakgrunden. Har du Windows Update inställt på manuellt uppdateringar bör du köra programmet och installera uppdateringen för certifikat snarast möjligt.

Mozilla uppger i ett blogginlägg att företaget kommer att uppdatera alla nyare versioner av Firefox på tisdag.

IDG News