Компания Google сообщила о выявлении факта генерации фиктивных SSL-сертификатов, выписанных для некоторых доменов Google. Указанные сертификаты были созданы с использованием промежуточного сертификата удостоверяющего центра, принадлежащего Агентству по сетевой и информационной безопасности Франции (ANSSI, "Agence Nationale de la Sécurité des Systèmes d’Information"), отвечающему за безопасность информационных систем.
В настоящее время проблемные сертификаты уже добавлены в черный список браузера Chrome, а также отправлены уведомления производителям других браузеров. Промежуточный сертификат удостоверяющего центра может использоваться для генерации сертификатов, аналогичных сертификатам, выписанным обычным удостоверяющим центром, т.е. с его помощью может быть выпущен валидный SSL-сертификат для любого сайта, позволяющий организовать не вызывающее подозрений защищённое соединение с данными сайтами. В случае Google, параметры сертификатов для доменов данной компании жестко прошиты в браузер Chrome, что позволяет выявить файлы и проинформировать пользователя при использовании сертификатов, формально валидных, но выписанных не тем удостоверяющим центром.
Организация ANSSI выявила, что промежуточный сертификат удостоверяющего цента был использован в коммерческом устройстве во внутренней сети агентства. Данное устройство использовалось для инспектирования зашифрованного трафика пользователей данной сети. Подобная система была развёрнута с нарушением установленных в ANSSI правил.
После выявления инцидента агентство опубликовало заявление, в котором пояснило, что ненадлежащее использование промежуточных сертификатов является результатом ошибки, допущенной сотрудником при конфигурировании устройства в процессе проведения работы по усилению безопасности IT-инфраструктуры министерства. В частности, вместо инспектирования трафика, связанного только с доменами министерства, цифровые сертификаты, подписанные сертификатом казначейства Франции ("DG Trésor"), генерировались и для сторонних доменов.
Проблемные сертификаты были отозваны сразу после выявления инцидента и не оказали влияния на безопасность сетевую безопасность, как публичной сети, таки и внутренней сети администрации. Предприняты меры для предотвращения возможности совершения подобных ошибок в будущем.