Google e Symantec, scontro sui certificati

Big G definisce la roadmap per invalidare tramite Chrome più di 30mila certificati emessi dalla security company. Aspra la reazione di Symantec, che si offre però di collaborare per risolvere il problema
Big G definisce la roadmap per invalidare tramite Chrome più di 30mila certificati emessi dalla security company. Aspra la reazione di Symantec, che si offre però di collaborare per risolvere il problema

Con un post dall’aria spazientita, Google ha annunciato la propria intenzione di voler invalidare gradualmente decine di migliaia di certificati emessi da Symantec negli ultimi anni, questo perché, in seguito ai risultati delle indagini condotte dal team di sviluppo di Google Chrome, Big G non ha più “fiducia nelle policy e nelle pratiche istituite da Symantec per il rilascio dei propri certificati”.

Come una vera e propria bomba ad orologeria, il team ha recentemente proposto una tabella di marcia per un incrementale distrust dei certificati rilasciati da Symantec CA con l’obiettivo dichiarato di “ripristinare la fiducia e la sicurezza dei propri utenti”: si partirà da una validità massima di 33 mesi (1.023 giorni) per i certificati accettati dalla release 59 del popolare browser, per arrivare ai 9 mesi (279 giorni) della versione 64 di Chrome. Tra i due estremi sono stati ovviamente definiti diversi step al ribasso (tranne che per la release Stable di Chrome 63 in quanto schedulata per il rilascio durante le festività invernali), come indicato di seguito:

– Chrome 59 (Dev, Beta, Stable): 33 mesi (1023 giorni)
– Chrome 60 (Dev, Beta, Stable): 27 mesi (837 giorni)
– Chrome 61 (Dev, Beta, Stable): 21 mesi (651 giorni)
– Chrome 62 (Dev, Beta, Stable): 15 mesi (465 giorni)
– Chrome 63 (Dev, Beta): 9 mesi (279 giorni)
– Chrome 63 (Stable): 15 mesi (465 giorni)
– Chrome 64 (Dev, Beta, Stable): 9 mesi (279 giorni)

Da ultimo, Google ha anche proposto una validità standard di 9 mesi per tutti i nuovi certificati , a partire dalla versione 61 di Chrome.

Le prime due ondate non dovrebbero causare molti problemi a Symantec, poiché come specificato da Google nel proprio post la maggioranza di tali certificati è stata rilasciata utilizzando il protocollo di cifratura SHA-1 (già non più supportato da Chrome), ma il colosso della sicurezza pare non averla presa bene: tramite un articolo sul proprio blog, Symantec ha definito “inaspettata” la decisione di Big G, bollando il post del Google Chrome Team come “irresponsabile”. Secondo Symantec, infatti, i dati riportati da Google circa la quantità di certificati compromessi sarebbero oltremodo “esagerati e fuorvianti”.

Nell’articolo di risposta viene inoltre fatto notare come, “benché i certificati identificati da Google appartenessero anche a diverse altre CA”, Google abbia “isolato” la CA di Symantec, sollevando così il dubbio che Big G possa averla in qualche modo presa di mira.

Concludendo la propria arringa difensiva dichiarandosi disposta a discutere del problema con Google per risolvere la situazione, Symantec ha anche voluto ricordare il proprio costante impegno nel rendere sicura la Rete, rassicurando utenti e clienti sulla sicurezza dei propri certificati SSL/TLS.

Niccolò Castoldi

Link copiato negli appunti

Ti potrebbe interessare

28 03 2017
Link copiato negli appunti