Aggiornamenti recenti Settembre 10th, 2024 9:57 AM
Mar 01, 2018 Marco Schiaffino In evidenza, Mercato, News, Prodotto, RSS, Tecnologia 3
Negli ultimi mesi molti sviluppatori di browser hanno dato un deciso “giro di vite” in tema di sicurezza e i siti che non offrono connessioni sicure su protocollo HTTPS rischiano che i visitatori vengano bloccati al momento della connessione.
Per chiunque gestisca un sito Internet, quindi, ritrovarsi con un certificato annullato nel giro un giorno è una bella gatta da pelare. Ieri è successo a 23.000 persone.
Come ha segnalato un lettore a Security Info, La revoca dei 23.000 certificati è arrivata da DigiCert, un “agglomerato” che raccoglie in sé fornitori di certificati digitali come Symantec, GeoTrust, Thawte, e RapidSSL, e che ha disposto la revoca in 24 ore di tutti i certificati forniti a uno specifico rivenditore.
Per gli utenti italiani, poi, i tempi sono stati ancora più stretti. L’avviso è arrivato durante la notte e molti dei gestori di siti Internet si sono trovati a dover sostituire il certificato in una manciata di ore.
Ma cos’è successo esattamente? Tutto è partito da Trustico, un’azienda con sede nel Regno Unito la cui attività è fornire certificati digitali ai siti Internet acquistandoli da DigiCert.
Sarebbe stata proprio l’azienda britannica, secondo quanto è stato ricostruito, a segnalare che i certificati in questione sarebbero stati in qualche modo compromessi e fosse necessaria la sua revoca.
Le cose, però, sembrano un po’ più complicate. Da quanto è emerso, infatti, Trustico non avrebbe spiegato con esattezza come tutto ciò sarebbe avvenuto e la revoca dei certificati sarebbe il frutto di “un colpo di mano” dell’azienda stessa.
Proviamo a riassumere gli eventi per come sono emersi dalle ricostruzioni attraverso le dichiarazioni dei protagonisti in campo.
Il 2 febbraio, Trustico chiede a DigiCert di revocare tutti i certificati (circa 50.000) che fanno riferimento ai suoi clienti. Il motivo, a quanto si capisce, è che Trustico stessa ha deciso di chiudere il suo rapporto con DigiCert e avviare una partnership con Comodo, un altro fornitore di certificati.
La richiesta viene respinta e da qui parte una battaglia contrattuale tra le due società, con DIgiCert che sostiene di non poter revocare i certificati su richiesta di un rivenditore, ma solo quando lo chiede l’utilizzatore del certificato stesso. In alternativa, i certificati possono essere revocati nel caso in cui vi sia prova che siano stati compromessi.
Il 27 febbraio DigiCert dichiara di aver ricevuto un’email da Trustico con allegate 23.000 chiavi private dei suoi clienti. Chiavi, queste, che non dovrebbero essere in possesso di Trustico. L’email stessa, in pratica, è la prova che i certificati devono essere considerati compromessi.
A questo punto DigiCert dice di non avere alternativa se non quella di revocare i certificati e invia la comunicazione a tutti i possessori.
Finito qui? No. Perché a complicare ulteriormente la vicenda arrivano le dichiarazioni di Trustico che nega qualsiasi problema di sicurezza relativo ai certificati in questione e spiega che la richiesta di revoca deriva dal fatto che quei certificati sono stati forniti, in origine, da Symantec prima che DigiCert acquisisse quel ramo dell’attività della società di sicurezza.
La richiesta di revoca sarebbe la conseguenza di perdita di fiducia nei confronti di Symantec, giustificata dal modo in cui la società avrebbe gestito la sua attività. Sullo sfondo c’è la vicenda legata alla decisione di Google e Mozilla di non considerare più validi i certificati di Symantec a partire da aprile.
L’impressione di molti, insomma, è che la mossa di Trustico sia un tentativo di portare tutti i suoi clienti a utilizzare certificati emessi da Comodo prima che comincino ad avere problemi con gli utenti che navigano con Chrome e Firefox.
Insomma: la situazione è terribilmente ingarbugliata e a farne le spese, per il momento, sono solo gli utenti finali. Stando alle dichiarazioni delle due aziende, infatti, dovrebbero in ogni caso avere gratuitamente dei nuovi certificati, ma nel caos che si è generato i tempi non sono assolutamente certi e per chi gestisce un sito Web, anche qualche ora di stop può rappresentare un disastro.
Ago 28, 2024 0
Giu 18, 2024 0
Giu 12, 2024 0
Mag 16, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Set 02, 2024 0
Il numero di attacchi alle applicazioni e alle API è in...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...Set 09, 2024 0
I ricercatori di Pathstack hanno individuato una nuova...Set 09, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...
3 thoughts on “Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL”