Un certificado fraudulento pretende legitimar páginas falsas de google.com, y posiblemente otros dominios también. Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.
De acuerdo con información publicada por el portal Hispasec, la empresa turca TurkTrust emitió certificados intermedios con los que se permitió la firma de un certificado falso para dominios de Google. Al parecer, en agosto de 2011, TurkTrust emitió y facilitó a un tercero dos certificados intermedios, en vez de los finales. Esto permitió a los receptores firmar certificados para cualquier dominio, circunstancia que parece que han aprovechado para firmar uno de *.google.com entre otros. Si de alguna forma, el atacante consigue redirigir a la víctima a otro servidor envenenando sus DNS o con cualquier otro método, llegará a un servidor falso que el navegador mostrará válido por SSL.
Esta es prácticamente la misma situación que ocurrió con Comodo y Diginotar en 2011.
En esta ocasión han sido tres los certificados revocados. Dos destinados a firmar, y uno final destinado a suplantar los dominios, entre los que se incluyen diferentes dominios específicos por país para Google, así como dominios de Android, Youtube, Google Analytics y Google commerce, entre otros.
Cabe destacar que este certificado cuenta con una lista de Subject Alternative Names (SAN). Los SAN permiten que los certificados sean válidos para varios dominios. Así, el navegador, cuando valida un certificado contra un dominio se fija en el CN (common name) del certificado, en si valida con un comodín ("wilcard") y por último si valida en su lista de SAN.
De acuerdo con Hispasec, Microsoft ya publicó la actualización correspondiente, disponible a través de Windows Update o los canales oficiales de descarga. El resto de navegadores han actualizado sus listas de revocación para bloquear los certificados.