Google ha deciso di rimuovere dai propri prodotti il supporto ai certificati di sicurezza emessi dall’ente cinese CNNIC in seguito ad una possibile violazione nella catena di sicurezza. CNNIC era già finita in passato sotto i riflettori per aver censurato alcuni utenti in Cina ed è sospettata di produrre malware.
Lo scorso mese CNNIC aveva rilasciato alcuni certificati di sicurezza validi per diversi domini, tra i quali quelli di Google, senza però chiedere il permesso alla casa di Mountain View. L’autorità cinese ha delegato il rilascio del certificato ad un ente egiziano, MCS Holdings, che ha pensato bene di inserire un malware del tipo man-in-the-middle nel certificato.
Google ha segnalato in un post che CNNIC aveva delegato l’operazione ad una organizzazione che non aveva i requisiti per farlo e, dopo una serie di ricerche approfondite, ha deciso non non accettare nessun certificato di sicurezza emesso da CNNIC, anche se quest’ultima ha assicurato che nessun certificato è mai uscito dai laboratori di test.
Google non esclude di poter accettare nuovamente i certificati di CNNIC, se quest’ultima implementerà un sistema trasparente di emissione dei certificati.