Microsoft, Google e Yahoo contro i certificati fasulli

Un nuovo caso relativo al protocollo SSL spinge le tre aziende a intervenire di concerto. Impegnata soprattutto Microsoft, che deve rivedere la gerarchia dei certificati attendibili su Windows
Un nuovo caso relativo al protocollo SSL spinge le tre aziende a intervenire di concerto. Impegnata soprattutto Microsoft, che deve rivedere la gerarchia dei certificati attendibili su Windows

Roma – In questi giorni Internet ha attraversato un periodo difficile a causa di una serie di certificati fasulli emessi dal National Informatics Centre (NIC) indiano, certificate authority (CA) di primaria importanza presente nel Trusted Root Certification Authorities Store e ritenuta fidata anche sulle piattaforme software di Microsoft.

I certificati – emessi erroneamente, a quanto pare – sono stati identificati da Google, che ha subito provveduto ad avvisare Microsoft del problema. Redmond si è mossa celermente pubblicando un apposito bollettino di sicurezza , evocando la possibilità di attacchi man-in-the-middle con eventuali malintenzionati “camuffati” dietro le identità di Google e Yahoo per spiare il traffico SSL dei browser Web degli utenti.

Microsoft ha quindi provveduto ad aggiornare la Certificate Trust List (CTL) invalidando i certificati incriminati su sistemi operativi per computer (da Windows Vista in poi), smartphone (Windows Phone 8) e Server. Su PC l’aggiornamento interessa il software progettato per girare su OS Windows, inclusi i browser Internet Explorer e Google Chrome, mentre Firefox basa i propri giudizi di affidabilità dei certificati su un’infrastruttura diversa.

Anche Google e Yahoo hanno provveduto a revocare i certificati fasulli prima che qualche cyber-guastatore potesse sfruttare la situazione a proprio vantaggio, e dunque la crisi dovrebbe essere definitivamente rientrata. Resta il rischio, perenne, di una infrastruttura dei CA sempre più traballante e pericolosa per l’intera Rete.

In questi giorni Microsoft ha infine dato il proprio contributo per concludere un’altra crisi di, vale a dire il caso riguardante il sequestro dei sottodomini di No-IP in seguito alla scoperta di un malware progettato per abusare del popolare servizio di DNS dinamico: gli utenti di No-IP avevano già potuto tornare a usare il servizio dopo il “dissequestro” da parte di Redmond, e ora la questione sembra essere definitivamente chiusa con la disabilitazione – apparentemente volontaria – dei sottodomini abusati dai malware scovati da Microsoft.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

11 07 2014
Link copiato negli appunti