Certificati SSL StarSSL e Wo-Sign non validi
Certificati HTTPS non riconosciuti come validi
Google Chrome, d’intesa con Apple e Mozilla, mette in atto, con il suo aggiornamento alla versione 56.0.2924, la revoca della fiducia, almeno parziale, a due Certification Authority: WoSign e StartCom. Non hanno mantenuto, infatti, gli standard richiesti per essere universalmente riconosciuti come Autorità di certificazione.
Dal blog di sicurezza di Google si evince che, partendo da una segnalazione effettuata dal team di sicurezza di GitHub, Mozilla ha investigato sulle attività e sugli standard di queste certfication authority.
In crittografia, una Certificate Authority o Certification Authority (CA), letteralmente Autorità Certificativa, è un ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in materia.
Wikipedia
Da sempre Mozilla ha come suo obiettivo un Internet pubblico, aperto e accessibile a tutti. Un’attività di controllo e segnalazione nei confronti di chi è al vertice della “credibilità on-line” è qualcosa che dovrebbe far comprendere a tutti la sostanziale importanza che riveste quel piccolo lucchetto verde che precede l’indirizzo di un sito web.
Quel “lucchetto” che ci tutela
Le connessioni cifrate HTTPS permettono il transito sicuro di informazioni tra noi ed il sito che stiamo visitando. Quando si parla di “informazioni” si parla di login, password, numeri di carta di credito: informazioni sensibili. Per questo accedendo all’home banking, all’email o effettuando un pagamento dovremmo sempre controllare la presenza di quel simbolo in alto a sinistra. Solo così avremo la certezza (o quasi) che solo il legittimo destinatario possa leggere ciò che noi digitiamo.
Tale tipologia di connessione è da pretendere quando vi è necessità di inserire dati sensibili all’interno di una pagina. Il simbolo che identifica la connessione crittografata con un sito web può avere aspetti differenti a seconda del tipo di certificato: DV (Domain Validation), IV (Identity Validation), OV (Organization Validation) ed EV (Extended Validation). Questi acronimi indicano non tanto una differenza tecnica tra le tipologie di certificato quanto il livello di accertamento legale dell’identità del proprietario del sito web. Un certificato per essere valido deve avere alcune proprietà, ne citiamo alcune:
- Emittente: è la Certification Authority che si fa carico di rilasciare il certificato
- Validità: il lasso di tempo in cui è valido il certificato
- Destinatario: la persona, fisica o giuridica, autorizzata ad utilizzare il certificato
- Scopo: è lo scopo per cui il certificato viene richiesto e rilasciato. Oltre alla verifica dell’identità di un sito web può essere utilizzato per firmare documenti, software, verificare l’identità di un client e molto altro.
La “fiducia” nel mondo virtuale
Molto spesso si sente dire che “non ci si fida” di un certo servizio o sito on-line. Ma esattamente quando, come e perché ci si dovrebbe fidare? Esiste uno standard che garantisca la sicurezza dei rapporti con un sito web e, in particolare, delle transazioni monetarie? In un mondo sempre più interconnesso e destinato all’evoluzione “digitale” anche delle transazioni monetarie queste domande sono opportune e legittime.
I sistemi di fiducia basati su un’autorità centrale, semplificano l’utilizzo di questi protocolli, ma possono rappresentare anche un grosso rischio. La corruzione o la politica scorretta di una di queste CA, riconosciute a livello globale, può causare effetti disastrosi. I nostri pc, smartphone e tablet riconosco la validità di un certificato anche in base all’ente emettitore.
Un certificato emesso da una CA aziendale interna ha validità solo per i computer di quell’azienda. Essi hanno esplicitamente dato fiducia alla CA stessa. Un certificato emesso dalla XYZ Company non sarebbe ritenuto valido da un terminale non aziendale e che non riconosce XYZ Company come CA verificata.
Sui nostri dispositivi chi si occupa di dare fiducia ad una CA piuttosto che ad un’altra? A farlo sono i vendor dei sistemi operativi (Microsoft, Apple, etc…) e quelli dei browser (Google, Mozilla Foundation, etc…).
Scoprire che uno di questi big abbia a cuore la serietà delle CA a cui da fiducia è sicuramente un’ottima notizia: qualcuno ha ancora a cuore la nostra privacy.