Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Set 28, 2016 Marco Schiaffino News, RSS, Tecnologia, Vulnerabilità 0
Un vero “J’Accuse” che prende di mira la società di certificazione digitale WoSign. A pubblicarlo è stata Mozilla, che nel lungo e dettagliato report indica una serie di mancanze e comportamenti scorretti della società cinese, attiva come Certificate Authority (CA).
La conclusione è lapidaria: “Il team di Mozilla ha perso ogni fiducia nelle capacità di WoSign di svolgere adeguatamente le sue funzioni di autorità di certificazione”. La reazione prospettata è decisamente pesante: Mozilla intende infatti di “bannare” WoSign per un anno.
Ma quali sono i comportamenti di WoSign che hanno fatto alzare la pressione fino a questo punto? Nel documento, il team di Mozilla indica una serie di comportamenti poco trasparenti, partendo dal sospetto che la CA cinese abbia retrodatato dei certificati SHA-1.
La questione è legata al fatto che l’algoritmo è considerato da tempo troppo “debole”, al punto che molti browser hanno deciso di non accettare più i certificati di questo tipo emessi dopo il 1 gennaio 2016.
L’accusa nei confronti di WoSign è di aver emesso 62 certificati SHA-1 oltre il termine, retrodatandoli al 20 dicembre 2015 (una domenica) per poterli utilizzare comunque.
La vicenda dei certificati con la data taroccata, però, non è l’unica accusa in capo a WoSign. L’altra questione sul tavolo è quella dell’acquisizione di StartCom, un’altra CA entrata nell’orbita di WoSign.
Secondo Mozilla, la società cinese non avrebbe adempiuto agli obblighi di comunicazione e trasparenza che sono previsti in caso di acquisizione di un’altra authority di certificazione.
Se a tutto questo si aggiungono dei precedenti non proprio edificanti come la validazione di un certificato digitale di GitHub a uno studente della Florida, le perplessità di Mozilla nel collaborare con la CA cinese appaiono più che giustificate.
Set 27, 2023 0
Lug 08, 2020 0
Dic 16, 2019 0
Giu 19, 2019 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business