Voor verschillende Google-domeinen zijn enige tijd valse beveiligingscertificaten in omloop geweest.

Zulke ssl-certificaten horen in principe te garanderen dat bij een beveiligde https-verbinding inderdaad met de juiste server contact wordt gemaakt. 

Het valse certificaat werd uitgegeven door het bedrijf MCS Holdings, een bedrijf onder de vleugels van het Chinese CNNIC. De certificaten van dit bedrijf worden standaard vertrouwd door de meeste browsers en besturingssystemen, dus veel verschillende apparaten waren kwetsbaar voor misbruik van het certificaat.

MCS bewaarde de privésleutel van zijn certificaten in een proxyserver die pretendeerde de bestemming van beveiligd verkeer te zijn. Zo werd de verbinding juist onveilig, stelt Google.

Google heeft de certificaten van MCS in Chrome onbruikbaar gemaakt. Ook in de aankomende versie van Firefox wordt het certificaat ongeldig verklaard

Voor zo ver bekend is het beveiligingslek niet misbruikt.