Google, invalidati i certificati fasulli di Symantec

La security enterprise americana rilascia alcuni certificati crittografici invalidi, Google se ne accorge e li mette alla porta. Symantec conferma e licenzia gli impiegati responsabili dell'accaduto
La security enterprise americana rilascia alcuni certificati crittografici invalidi, Google se ne accorge e li mette alla porta. Symantec conferma e licenzia gli impiegati responsabili dell'accaduto

Ancora un incidente a base di certificati crittografici non richiesti per Google, con la corporation dell’advertising che deve questa volta gestire alcuni certificati fasulli rilasciati da Thawte , Certificate Authority (CA) di proprietà della nota security enterprise Symantec.

Nei giorni scorsi Thawte ha rilasciato un certificato di Extended Validation (EV) per i domini google.com e www.google.com , ha riferito la corporation di Mountain View, ma l’emissione del certificato non era stata né richiesta né autorizzata ufficialmente da Google.

L’azienda si è accorta del problema grazie ai log di Certificate Transparency , un programma partito lo scorso 1 gennaio e pensato per identificare l’emissione di certificati EV. A quel punto Google ha contattato Symantec, che a sua volta ha avviato un’indagine interna per capire quel che era realmente accaduto.

La spiegazione finale di Symantec parla quindi di “una piccola quantità” di certificati di test emessi per errore da parte di un non meglio precisato numero di impiegati che non hanno seguito la policy aziendale come invece avrebbero dovuto. I certificati sono stati revocati “immediatamente” e gli impiegati responsabili sono stati licenziati, ha rassicurato Symantec.

I certificati non autorizzati emessi da CA di primo piano potrebbero permettere a un malintenzionato di impersonare i siti corrispondenti ai domini coinvolti (in questo caso google.com ) su connessione HTTPS, e Google risulta essere particolarmente suscettibile a questo genere di incidente come dimostra anche il caso della CA cinese CNNIC emerso lo scorso aprile .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 09 2015
Link copiato negli appunti