Google blocca i certificati turchi non autorizzati

Google blocca i certificati turchi non autorizzati

Mountain View comunica di aver bloccato un certificato riconducibile a una CA turca, usato senza autorizzazione per impersonare l'identità del dominio Google.com. Ora anche la suddetta CA è sotto osservazione
Mountain View comunica di aver bloccato un certificato riconducibile a una CA turca, usato senza autorizzazione per impersonare l'identità del dominio Google.com. Ora anche la suddetta CA è sotto osservazione

A Natale il certificato digitale di Google.com non è un pacco dono ma una ID fasulla: è Google stessa a spiegare l’incidente avvenuto fra il 24 e il 25 dicembre scorsi, riconducendo la responsabilità alla Certificate Authority (CA) turca TURKTRUST.

Google dice di aver subito bloccato il certificato non autorizzato in Chrome, e dalle indagini è emerso che tale certificato era stato rilasciato da una CA intermedia – un tipo di autorizzazione che possiede la stessa autorità delle CA vere e proprie.

In seguito anche TURKTRUST ha svolto le proprie indagini, scoprendo che nell’agosto del 2011 aveva erroneamente rilasciato due certificati di CA intermedia al posto di certificati SSL standard. Tali certificati sono stati evidentemente utilizzati per firmare digitalmente la ID fasulla identificata e bloccata da Google.

Google spiega che la severità del problema richiederà un nuovo update a Chrome nel corso del mese corrente, mentre la revoca dei certificati di CA intermedia negli altri browser verrà deputata alle singole società produttrici. Mozilla ha già confermato di avere in cantiere un aggiornamento per il prossimo 8 gennaio.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 01 2013
Link copiato negli appunti