Вечером 24 декабря браузер Chrome обнаружил и заблокировал неавторизированный цифровой сертификат для домена “*.google.com”, который, как оказалось, был выпущен промежуточным Центром сертификации (Intermediate Certificate Authorities, CA), связанным с турецким Центром сертификации TURKTRUST. С его помощью можно было бы осуществлять “фишинговые” атаки или подмену ключей.
Дело в том, что Intermediate CA практически полностью дублирует функции корневого CA, поэтому с его помощью можно создать фальшивый сертификат для любого сайта. А с его помощью злоумышленники получают возможность подделать контент сайта по классической “фишинговой” схеме или выполнить атаку класса man-in-the-middle, то есть атаку методом перехвата сообщений и подмены ключей.
Сразу после обнаружения Microsoft запустила процедуру по обновлению своего списка доверительных сертификатов (Certificate Trust list, CTL) и всех версий ОС с целью аннулирования сертификата. Компания также решила отозвать два других сертификата по той же причине, поскольку уже было зафиксировано несколько атак, использующих фальшивый сертификат.
Как оказалось, ещё в августе 2011 года TURKTRUST Inc. ошибочно создал два дочерних Центра Сертификации: *.EGO.GOV.TR и e-islem.kktcmerkezbankasi.org. Первый из них и был использован для выпуска фальшивого цифрового сертификата на *.google.com.
Пока неясно, какова была истинная цель злоумышленников. Эксперты Microsoft указывают на домен kktcmerkezbankasi.org, под этим доменом работает веб-сайт, представляющий Центральный банк непризнанной Турецкой республики Северного Кипра.