A Natale il certificato digitale di Google.com non è un pacco dono ma una ID fasulla: è Google stessa a spiegare l’incidente avvenuto fra il 24 e il 25 dicembre scorsi, riconducendo la responsabilità alla Certificate Authority (CA) turca TURKTRUST.
Google dice di aver subito bloccato il certificato non autorizzato in Chrome, e dalle indagini è emerso che tale certificato era stato rilasciato da una CA intermedia – un tipo di autorizzazione che possiede la stessa autorità delle CA vere e proprie.
In seguito anche TURKTRUST ha svolto le proprie indagini, scoprendo che nell’agosto del 2011 aveva erroneamente rilasciato due certificati di CA intermedia al posto di certificati SSL standard. Tali certificati sono stati evidentemente utilizzati per firmare digitalmente la ID fasulla identificata e bloccata da Google.
Google spiega che la severità del problema richiederà un nuovo update a Chrome nel corso del mese corrente, mentre la revoca dei certificati di CA intermedia negli altri browser verrà deputata alle singole società produttrici. Mozilla ha già confermato di avere in cantiere un aggiornamento per il prossimo 8 gennaio.
Alfonso Maruccia
Ti potrebbe interessare
7 gen 2013