È in corso una lotta sulla crittografia di Internet. Google, che ha accusato Symantec e i suoi partner di uso improprio di decine di migliaia di certificati per le connessioni web crittografate, ha annunciato che sta per mettere in atto il downgrade del livello e della durata della fiducia che Chrome riporrà nei certificati rilasciati da Symantec.

Le connessioni web crittografate – connessioni HTTPS come quelle dei siti bancari, le pagine di accesso o siti di notizie – vengono abitualmente abilitate da autorità di certificazione (CA), le quali verificano l’identità del proprietario del sito e a seguito del rispetto di una serie di standard e requisiti, rilasciano un attestato di autenticità.

Symantec è un colosso nel mondo della sicurezza e della crittografia di Internet e suoi certificati hanno garantito per circa il 30 % del web nel corso del solo 2015. Ma Google sostiene che la Symantec non abbia preso sul serio le proprie responsabilità,emettendo almeno 30.000 certificati senza verificare in modo appropriato i siti web. Si tratta di un’accusa grave che mina la fiducia che gli utenti possono riporre nella rete crittografata. Google, in risposta, ha fatto sapere che inizierà il processo di diffida dei certificati Symantec nel suo browser Chrome. La Symantec si è scagliata contro le affermazioni di Google, definendole “irresponsabili, esagerate e fuorvianti”.

“A partire dal 19 gennaio il team di Google Chrome sta indagando su una serie di inosservanze ad opera della Symantec Corporation nella pratica della convalida dell’assegnazione dei certificati. Nel corso di questa indagine è emerso che le spiegazioni fornite da Symantec stiano mostrando sempre più di frequente dei casi di uso improprio nel momento in cui Google si è impegnato nella verifica di idoneità per Chrome. Inizialmente si è indagato su 127 certificati, ma a seguito di questi controlli il numero è aumentato a dismisura, raggiungendo le 30.000 violazioni della certificazione” secondo quanto scritto da Ryan Sleevi, software engineer di Google, in un post sul forum che tratta il caso contro Symantec “Tutto questo va associato ad una serie di ulteriori violazioni riscontrate per certificati rilasciati dalla Symantec, causando una diminuzione della fiducia risposta nelle politiche di emissione dei certificati e anche nelle pratiche ad opera di Symantec nel corso degli ultimi anni.”

Per porre rimedio alla situazione, Sleevi ha dichiarato che Chrome ha imposto una riduzione del periodo di attendibilità per un certificato emesso da Symantec e che ad alcuni siti verrà richiesta la sostituzione dei certificati più vecchi, con altri più attendibili e aggiornati.

Sleevi ha definito il comportamento di Symantec insoddisfacente in quanto non risponde ai requisiti di base indispensabili per un’autorità di certificazione, provocando un “rischio significativo per gli utenti di Google Chrome” aggiungendo poi:
“La Symantec ha permesso ad almeno quattro parti di accedere alla propria infrastruttura per il rilascio dei certificati, ma non ha sorvegliato queste funzionalità a sufficienza, come invece veniva richiesto. Nel momento in cui alcune di queste parti hanno palesemente violato gli standard imposti, le informazioni riguardo quanto avvenuto non sono state divulgate in modo tempestivo e non si è fatto fronte ai problemi riscontrati”.

Il periodo in questione abbraccerebbe diversi anni e queste informazioni erano già identificabili dai dati condivisi pubblicamente – e quindi resi disponibili – dalla Symantec stessa. La diatriba tra Google e Symantec non è una novità dell’ultimo minuto, infatti, già nel mese di ottobre 2015 Google aveva scoperto che Symantec avesse rilasciato impropriamente alcuni certificati per la stessa Google e per Opera Software.

Symantec ha esaminato il problema e ha affermato che tutti i certificati impropri siano stati emessi nell’ambito di test di routine. “La nostra indagine non ha riscontrato alcun dolo o malizia” secondo quanto ribattuto dalla Symantec, ha inoltre respinto le accuse di Google presentate venerdì scorso, sostenendo che Google avesse gonfiato il numero dei certificati impropri emessi da Symantec, in primo luogo.

La Symantec ha ribattuto, in un post sul blog della società che “Le dichiarazioni di Google sulle nostre pratiche di emissione e sulla portata di quelle contestate sono esagerate e fuorvianti. Ad esempio, l’affermazione di Google che parla di 30.000 certificati SSL/TLS non è vera. In quel caso Google si riferisce a 127 certificati – non 30.000 – identificati come emessi impropriamente, ma tali emissioni non hanno causato alcun danno ai consumatori. Sebbene tutte le principali autorità di certificazione abbiano sperimentato casi di emissione di SSL/TLS non conformi, Google ha indicato solo il Symantec Certificate Authority come imputato, nonostante il post coinvolgesse diversi CA”.

Ma secondo Sleevi la Symantec sarebbe in partnership con altri CA, come la CrossCert (Korea Electronic Certificate Authority), Certisign Certificatadora Digital, Certsuperior S. de R. L. de C.V. e Certisur S.A., i quali non avrebbero seguito adeguatamente le procedure di verifica, che hanno portato a 30.000 casi di violazioni riscontrate.

“Symantec ha ammesso di essere stata attivamente consapevole di questo fenomeno per almeno una delle parti, ma non ha troncato i rapporti con essa. Almeno 30.000 certificati sono stati emessi dalla parte in questione, e non sono stati valutati gli standard previsti per avere il via libera alla conformità. Inoltre, questi certificati non possono essere identificati tecnicamente e non possono essere distinti dai certificati in cui Symantec ha convalidato la certificazione”.

Symantec ha mostrato apertura nei confronti di Google dichiarandosi “Aperta a discutere la questione della crittografia di Internet con Google per risolverla definitivamente”, ma d’altro canto chi ha un sito Internet certificato da Symantec dovrà correre ai ripari, procurandosene uno nuovo, e verificando che la propria connessione HTTPS risponda agli standard di Chrom, per far sì che gli utenti possano accedervi senza imbattersi in avvisi di sicurezza.

Ecco la tabella con la tempistica diffusa da Sleevi:
Per bilanciare i rischi di compatibilità dai rischi per la sicurezza, proporremo una diffida progressiva di tutti i certificati emessi da Symantec esistenti e con questo provvedimento richiediamo di provvedere alla sostituzione delle certificazioni affinché vengano completamente rinnovate e siano conformi ai requisiti di base vigenti. Ciò verrà realizzato diminuendo gradualmente l’‘età massima’ dei certificati emessi da Symantec, diffidando quei certificati il cui periodo di validità superi il massimo specificato (secondo la regola notBefore e notAfter – non prima e non dopo).

Chrome 59 (Dev, Beta, Stable): 33 mesi di validità (1023 giorni)
Chrome 60 (Dev, Beta, Stable): 27 mesi di validità (837 giorni)
Chrome 61 (Dev, Beta, Stable): 21 mesi di validità (651 giorni)
Chrome 62 (Dev, Beta, Stable): 15 mesi di validità (465 giorni)
Chrome 63 (Dev, Beta): 9 mesi di validità (279 giorni)
Chrome 63 (Stable): 15 mesi di validità (465 giorni)
Chrome 64 (Dev, Beta, Stable): 9 mesi di validità (279 giorni)

La Symantec, dalla sua, sembra essere fiduciosa nel fatto che Google faccia marcia indietro e non richieda alcuna modifica. “Vogliamo rassicurare i nostri clienti e tutti i consumatori sul fatto che possano continuare a fidarsi dei certificati SSL / TLS emessi da Symantec. La Symantec difende vigorosamente l’uso sicuro e produttivo di Internet, e ciò comprende la minimizzazione di ogni potenziale disturbo causato dalla da quanto condiviso sul blog di Google “ ha dichiarato la società.

Google è in lotta con Symantec per la crittografia di Internet ultima modifica: 2017-03-29T09:02:19+00:00 da Web Digitalic
Depositphoto Agosto 2018

Non rimanere indietro, iscriviti ora

Ricevi in tempo reale le notizie del digitale

Iscrizione alla Newsletter

controlla la tua inbox per confermare l'iscrizione

Privacy Policy

Grazie! Ora fai parte di Digitalic!