A Google, a Mozilla és a Microsoft is biztonsági figyelmeztetést adott ki, miután kiderült, hogy a TURKTRUST hitelesítő szolgáltató "véletlenül" köztes CA tanúsítványokat osztott ki arra jogosulatlan szervek számára. A kibocsátott tanúsítványok tetszőleges domain-hez tartozó tanúsítvány hamisítását lehetővé teszik, a problémára is úgy derült fény, hogy a Google a Chrome böngésző hazabeszélő funkcióján keresztül egy illetéktelenül kibocsátott, *.google.com tartományra vonatkozó tanúsítványt észlelt.

A Google értesítette a TURKTRUST-t, akik azt találták, hogy 2011. augusztusában (!) két ilyen problémás tanúsítvány is készült. A google.com-ra vonatkozó tanúsítványt a *.ego.gov.tr-hez tartozó privát kulccsal hitelesítették - török kormányzati domain, hát nem furcsa? A legdurvább az egész történetben az, hogy a böngészőgyártók ezek után csak a "tévesen kiadott" köztes tanúsítványokat, valamint az illetéktelenül használt *.google.com tanúsítványt feketelistázzák, a TURKTRUST-t nem! 

Azt hiszem, nálam a CA alapú (globális) PKI most írta le magát véglegesen.

Záró gondolat Rob Grahamtől: ha tanúsítványt hamisítasz, hagyd ki a Google-t, a százmilliós Chrome-szenzor hálózat úgyis lebuktat.

Friss1: Bocs, a Mozilla mégis megvonta a bizalmat a TURKTRUST-tól (legalábbis ideiglenesen, és csak az egyik gyökerükre)

Friss2: Közép-hosszú távú megoldás a hasonló problémákra például a Convergence lehet.

Friss3: A TURKTRUST magyarázata itt olvasható. Állításuk szerint a hiba egy teszt során keletkezett, a problémát pedig - egy ezzel összefüggő bejelentés hatására - még 2011-ben orvosolták. Én már csak azt nem értem, hogy ekkor miért nem derült ki, hogy rossz paraméterekkel lettek leosztva tanúsítványok? A Google MitM szituációra a szervezet szerint azért került sor, mert egy rendszergazda a hibáasn kiállított tanúsítványt feltöltötte egy CheckPoint eszközre, mely ennek hatására automatikusan MitM módba váltott - ezt a viselkedést azonban több szakértő vitatja.