Microsoft heeft 45 ssl-certificaten die ten onrechte zijn uitgegeven door een Indiase certificaat-autoriteit geblokkeerd. Gebruikers van Windows 8 zijn automatisch beschermd, maar gebruikers van oudere versies moeten een update installeren.
Eerder deze week bleek dat de certificaat-autoriteit, het Indiase National Informatics Centre, ten onrechte ssl-certificaten voor Google-domeinen had uitgegeven. Microsoft is het enige bedrijf dat certificaten van de bewuste organisatie accepteert; naast Internet Explorer gebruikt de Chrome-versie voor Windows de certificaat-database van Microsoft.
Microsoft heeft de bewuste certificaten nu geblokkeerd, maar tekent aan dat onduidelijk is of er meer valse certificaten zijn gegenereerd. In Windows 8 en Windows Server 2012 worden de certificaten automatisch geblokkeerd; gebruikers van oudere, ondersteunde Windows-versies moeten een Windows Update installeren om de certificaten ongeldig te laten maken.
Het is nog altijd onduidelijk hoe de valse certificaten zijn gegenereerd. Het gaat om certificaten voor domeinen als Google.com, Gmail.com en imap.gmail.com. Daarnaast zijn valse certificaten voor verschillende Yahoo-domeinen gegenereerd, waaronder de loginpagina van Yahoo en Yahoo Mail. Overigens lopen Chrome-gebruikers minder risico dan Internet Explorer-gebruikers: Google levert een lokale kopie van zijn servercertificaten mee met installatie, waardoor de valse certificaten niet door Chrome zullen worden geaccepteerd.