A gigante norte-americana afirmou este sábado, numa postagem no seu blogue oficial, ter detectado "certificados digitais não-autorizados para vários domínios da Google" provenientes da ANSSI, a agência de segurança responsável pelos sistemas de informação franceses, mas que também é uma autoridade na concessão de certificações digitais.

Os certificados não-autorizados que a Google detectou terão, na verdade, sido emitidos por um intermediário. A Google endereçou esta questão através de uma actualização no Chrome, tendo alertado de seguida a ANSSI e as restantes empresas com browsers no mercado, que bloquearam a autoridade intermediária.

As certificações digitais, que são utilizadas pelos browsers para verificar a fiabilidade de um serviço, podem ser falsificadas e permitir que piratas informáticos se façam passar por um serviço como a Google, levando o utilizador a fornecer os seus dados pessoais sem se aperceber de que os está a fornecer a outra entidade.

Segundo o standard deste tipo de procedimentos, estes certificados devem ser emitidos por entidades responsáveis (conhecidas por root CAs) como a ANSSI. Também existem, contudo, autoridades intermediárias sujeitas a verificação pelas autoridades principais de forma a permitir que os navegadores de internet aceitem os certificados digitais.

A Google afirma no seu blogue que a ANSSI descobriu que o certificado digital foi utilizado "num dispositivo comercial, numa rede privada, para inspeccionar tráfego encriptado com o conhecimento dos utilizadores dessa rede".

Já a ANSSI afirma que tudo não passou de "um erro humano, cometido durante o processo destinado ao fortalecimento da segurança geral das IT do Ministério das Finanças francês", através do qual "certificados digitais relacionados com domínios de terceiros, que não pertencem à administração francesa, foram assinados por uma autoridade de certificação da DGTrésor (Tesouro)".

Telemoveis.com