Onderzoek door een Indiase overheidsinstantie naar valse SSL-certificaten die voor onder andere Google-domeinen waren uitgegeven heeft geen duidelijk beeld opgeleverd, waardoor de omvang van het incident onbekend is. Eerder deze week sloeg Google alarm over de valse SSL-certificaten.

Met de valse SSL-certificaten zou een aanvaller internetgebruikers kunnen aanvallen die van deze Google-domeinen gebruik maken, bijvoorbeeld om vertrouwelijke informatie te stelen. De valse SSL-certificaten in kwestie waren door het Indiase National Informatics Centre (NIC) uitgegeven dat weer door de Indiase Controller van Certifying Authorities (India CCA) wordt vertrouwd. De certificaten van India CCA staan standaard in de Microsoft Root Store en worden zodoende door een groot deel van de programma's die op Windows draaien vertrouwd.

Vanwege het incident publiceerde Google verschillende updates voor Google Chrome om gebruikers tegen deze certificaten te beschermen. Daarnaast voerde India CCA een onderzoek uit. Volgens deze Indiase overheidsinstantie zouden er vier valse SSL-certificaten zijn uitgegeven, waaronder drie voor domeinen van Google en één voor een domein van Yahoo.

Google zegt dat het één van de valse SSL-certificaten voor de eigen domeinen niet kende, maar ook dat er meer valse SSL-certificaten waren uitgegeven die niet in het overzicht van India CCA voorkomen. "We kunnen dan ook alleen concluderen dat de omvang van het incident onbekend is", zegt security-ingenieur Adam Langley. Vanwege het incident heeft Google het India CCA rootcertificaat tot een zevental domeinen beperkt.