Aggiornamenti recenti Aprile 18th, 2025 2:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- XorDDoS, il DDoS contro Linux evolve e continua a mietere vittime
- Migliaia di chiavi AWS usate in un attacco ransomware
- Aggiornato: Addio a CVE – il governo U.S.A. (sospende) riprende i finanziamenti per il programma
- Defender for Endpoint bloccherà gli IP sconosciuti per impedire il movimento laterale
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL
I certificati digitali in questione sarebbero stati compromessi, ma tutta la vicenda sembra avere come origine una guerra commerciale tra le due aziende.
Negli ultimi mesi molti sviluppatori di browser hanno dato un deciso “giro di vite” in tema di sicurezza e i siti che non offrono connessioni sicure su protocollo HTTPS rischiano che i visitatori vengano bloccati al momento della connessione.
Per chiunque gestisca un sito Internet, quindi, ritrovarsi con un certificato annullato nel giro un giorno è una bella gatta da pelare. Ieri è successo a 23.000 persone.
Come ha segnalato un lettore a Security Info, La revoca dei 23.000 certificati è arrivata da DigiCert, un “agglomerato” che raccoglie in sé fornitori di certificati digitali come Symantec, GeoTrust, Thawte, e RapidSSL, e che ha disposto la revoca in 24 ore di tutti i certificati forniti a uno specifico rivenditore.
Per gli utenti italiani, poi, i tempi sono stati ancora più stretti. L’avviso è arrivato durante la notte e molti dei gestori di siti Internet si sono trovati a dover sostituire il certificato in una manciata di ore.
Ma cos’è successo esattamente? Tutto è partito da Trustico, un’azienda con sede nel Regno Unito la cui attività è fornire certificati digitali ai siti Internet acquistandoli da DigiCert.
Sarebbe stata proprio l’azienda britannica, secondo quanto è stato ricostruito, a segnalare che i certificati in questione sarebbero stati in qualche modo compromessi e fosse necessaria la sua revoca.
Le cose, però, sembrano un po’ più complicate. Da quanto è emerso, infatti, Trustico non avrebbe spiegato con esattezza come tutto ciò sarebbe avvenuto e la revoca dei certificati sarebbe il frutto di “un colpo di mano” dell’azienda stessa.
Proviamo a riassumere gli eventi per come sono emersi dalle ricostruzioni attraverso le dichiarazioni dei protagonisti in campo.
Il 2 febbraio, Trustico chiede a DigiCert di revocare tutti i certificati (circa 50.000) che fanno riferimento ai suoi clienti. Il motivo, a quanto si capisce, è che Trustico stessa ha deciso di chiudere il suo rapporto con DigiCert e avviare una partnership con Comodo, un altro fornitore di certificati.
La richiesta viene respinta e da qui parte una battaglia contrattuale tra le due società, con DIgiCert che sostiene di non poter revocare i certificati su richiesta di un rivenditore, ma solo quando lo chiede l’utilizzatore del certificato stesso. In alternativa, i certificati possono essere revocati nel caso in cui vi sia prova che siano stati compromessi.
Il 27 febbraio DigiCert dichiara di aver ricevuto un’email da Trustico con allegate 23.000 chiavi private dei suoi clienti. Chiavi, queste, che non dovrebbero essere in possesso di Trustico. L’email stessa, in pratica, è la prova che i certificati devono essere considerati compromessi.
“Trustico ci ha mandato un documento con tutte le chiavi, quindi siamo costretti a revocarle”. La frase suona decisamente come un atto di accusa…
A questo punto DigiCert dice di non avere alternativa se non quella di revocare i certificati e invia la comunicazione a tutti i possessori.
Finito qui? No. Perché a complicare ulteriormente la vicenda arrivano le dichiarazioni di Trustico che nega qualsiasi problema di sicurezza relativo ai certificati in questione e spiega che la richiesta di revoca deriva dal fatto che quei certificati sono stati forniti, in origine, da Symantec prima che DigiCert acquisisse quel ramo dell’attività della società di sicurezza.
La richiesta di revoca sarebbe la conseguenza di perdita di fiducia nei confronti di Symantec, giustificata dal modo in cui la società avrebbe gestito la sua attività. Sullo sfondo c’è la vicenda legata alla decisione di Google e Mozilla di non considerare più validi i certificati di Symantec a partire da aprile.
L’impressione di molti, insomma, è che la mossa di Trustico sia un tentativo di portare tutti i suoi clienti a utilizzare certificati emessi da Comodo prima che comincino ad avere problemi con gli utenti che navigano con Chrome e Firefox.
Insomma: la situazione è terribilmente ingarbugliata e a farne le spese, per il momento, sono solo gli utenti finali. Stando alle dichiarazioni delle due aziende, infatti, dovrebbero in ogni caso avere gratuitamente dei nuovi certificati, ma nel caos che si è generato i tempi non sono assolutamente certi e per chi gestisce un sito Web, anche qualche ora di stop può rappresentare un disastro.
Condividi l'articolo
- certificati digitali, Chrome, DigiCert, Firefox, Google, Internet, Marco Schiaffino, Mozilla, SSL, Symantec, Trustico
Rapporto Clusit: il cyber-crimine fa danni per 500 miliardi di dollari
Vuoi un tema gratis per WordPress? In omaggio c’è anche il trojan!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova...
-
Migliaia di chiavi AWS usate in un attacco ransomware Alcuni ricercatori di sicurezza hanno scoperto una nuova... -
Aggiornato: Addio a CVE – il governo U.S.A.... Aggiornamento: “Il programma CVE ha un valore... -
Defender for Endpoint bloccherà gli IP sconosciuti per... Microsoft sta per rilasciare una nuova funzionalità di... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento...
Ransomware: la serie
No posts found.
3 thoughts on “Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL”