Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL
I certificati digitali in questione sarebbero stati compromessi, ma tutta la vicenda sembra avere come origine una guerra commerciale tra le due aziende.
Negli ultimi mesi molti sviluppatori di browser hanno dato un deciso “giro di vite” in tema di sicurezza e i siti che non offrono connessioni sicure su protocollo HTTPS rischiano che i visitatori vengano bloccati al momento della connessione.
Per chiunque gestisca un sito Internet, quindi, ritrovarsi con un certificato annullato nel giro un giorno è una bella gatta da pelare. Ieri è successo a 23.000 persone.
Come ha segnalato un lettore a Security Info, La revoca dei 23.000 certificati è arrivata da DigiCert, un “agglomerato” che raccoglie in sé fornitori di certificati digitali come Symantec, GeoTrust, Thawte, e RapidSSL, e che ha disposto la revoca in 24 ore di tutti i certificati forniti a uno specifico rivenditore.
Per gli utenti italiani, poi, i tempi sono stati ancora più stretti. L’avviso è arrivato durante la notte e molti dei gestori di siti Internet si sono trovati a dover sostituire il certificato in una manciata di ore.
Ma cos’è successo esattamente? Tutto è partito da Trustico, un’azienda con sede nel Regno Unito la cui attività è fornire certificati digitali ai siti Internet acquistandoli da DigiCert.
Sarebbe stata proprio l’azienda britannica, secondo quanto è stato ricostruito, a segnalare che i certificati in questione sarebbero stati in qualche modo compromessi e fosse necessaria la sua revoca.
Le cose, però, sembrano un po’ più complicate. Da quanto è emerso, infatti, Trustico non avrebbe spiegato con esattezza come tutto ciò sarebbe avvenuto e la revoca dei certificati sarebbe il frutto di “un colpo di mano” dell’azienda stessa.
Proviamo a riassumere gli eventi per come sono emersi dalle ricostruzioni attraverso le dichiarazioni dei protagonisti in campo.
Il 2 febbraio, Trustico chiede a DigiCert di revocare tutti i certificati (circa 50.000) che fanno riferimento ai suoi clienti. Il motivo, a quanto si capisce, è che Trustico stessa ha deciso di chiudere il suo rapporto con DigiCert e avviare una partnership con Comodo, un altro fornitore di certificati.
La richiesta viene respinta e da qui parte una battaglia contrattuale tra le due società, con DIgiCert che sostiene di non poter revocare i certificati su richiesta di un rivenditore, ma solo quando lo chiede l’utilizzatore del certificato stesso. In alternativa, i certificati possono essere revocati nel caso in cui vi sia prova che siano stati compromessi.
Il 27 febbraio DigiCert dichiara di aver ricevuto un’email da Trustico con allegate 23.000 chiavi private dei suoi clienti. Chiavi, queste, che non dovrebbero essere in possesso di Trustico. L’email stessa, in pratica, è la prova che i certificati devono essere considerati compromessi.
“Trustico ci ha mandato un documento con tutte le chiavi, quindi siamo costretti a revocarle”. La frase suona decisamente come un atto di accusa…
A questo punto DigiCert dice di non avere alternativa se non quella di revocare i certificati e invia la comunicazione a tutti i possessori.
Finito qui? No. Perché a complicare ulteriormente la vicenda arrivano le dichiarazioni di Trustico che nega qualsiasi problema di sicurezza relativo ai certificati in questione e spiega che la richiesta di revoca deriva dal fatto che quei certificati sono stati forniti, in origine, da Symantec prima che DigiCert acquisisse quel ramo dell’attività della società di sicurezza.
La richiesta di revoca sarebbe la conseguenza di perdita di fiducia nei confronti di Symantec, giustificata dal modo in cui la società avrebbe gestito la sua attività. Sullo sfondo c’è la vicenda legata alla decisione di Google e Mozilla di non considerare più validi i certificati di Symantec a partire da aprile.
L’impressione di molti, insomma, è che la mossa di Trustico sia un tentativo di portare tutti i suoi clienti a utilizzare certificati emessi da Comodo prima che comincino ad avere problemi con gli utenti che navigano con Chrome e Firefox.
Insomma: la situazione è terribilmente ingarbugliata e a farne le spese, per il momento, sono solo gli utenti finali. Stando alle dichiarazioni delle due aziende, infatti, dovrebbero in ogni caso avere gratuitamente dei nuovi certificati, ma nel caos che si è generato i tempi non sono assolutamente certi e per chi gestisce un sito Web, anche qualche ora di stop può rappresentare un disastro.
Condividi l'articolo
- certificati digitali, Chrome, DigiCert, Firefox, Google, Internet, Marco Schiaffino, Mozilla, SSL, Symantec, Trustico
Rapporto Clusit: il cyber-crimine fa danni per 500 miliardi di dollari
Vuoi un tema gratis per WordPress? In omaggio c’è anche il trojan!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
3 thoughts on “Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL”