Mozilla, mozione di sfiducia per la CA cinese

Vuole rimuovere la certificate authority cinese WoSign dal proprio database di CA fidate, a seguito di un'investigazione che ha dimostrato numerose condotte fraudolente

Roma – Anche se spesso sono le vulnerabilità del protocollo TLS/SSL a guadagnare la ribalta , il fondamentale compito di verificare le credenziali dei proprietari dei siti web protetti dal lucchetto verde rimane appannaggio delle Certificate Authority (CA). A controllare i controllori sono i produttori dei browser più famosi, che mantengono un database di CA “fidate” che costituiscono la root of trust per la quasi totalità dei certificati TLS in uso sul web. Mozilla ha rilasciato i risultati di una lunga investigazione sulle procedure di sicurezza della CA cinese WoSign , trovandole inadeguate e fraudolente, e proponendo la rimozione di WoSign dal database delle CA incluso in Firefox .

L’elenco dei comportamenti questionabili di WoSign è lungo e documentato , con alcune istanze particolarmente clamorose. Nel mese di agosto, WoSign ha rilasciato un certificato valido per github.com ad un amministratore di sistema della University of Central Florida, dopo che questi aveva già ricevuto un altro certificato valido per il sito principale dell’università invece che per il solo sottodominio di sua competenza .

WoSign ha anche consapevolmente aggirato il ban a certificati firmati con l’algoritmo SHA-1, ormai notoriamente insicuro e in fase di deprecazione da parte di tutti i browser, che considerano come invalidi certificati SHA-1 . Esiste un processo di verifica secondario con cui i browser possono consentire certificati SHA-1 rilasciati prima del 1° gennaio 2016 . WoSign ha però barato, retrodatando alcuni nuovi certificati SHA-1 in modo da non oltrepassare la scadenza, e senza nemmeno abbondare in sofisticazione: tutti i certificati risultavano rilasciati in un periodo di 24 ore durante la domenica del 20 dicembre 2015, in barba a tutte le statistiche sulla frequenza tipica dei rilasci .

Infine WoSign ha completato l’acquisizione di un altra CA, la israeliana StartCom , senza divulgare il cambio di proprietà, collocandosi non solo “in violazione della policy Mozilla per la manutenzione dei certificati delle CA”, ma anche negando l’affare ripetutamente.

Ora Mozilla “non ha più fiducia nella capacità di WoSign e StartCom di svolgere in buona fede e in modo competente le funzioni di CA” e pertanto vuole rimuovere WoSign dal database di quelle fidate e considerare non validi tutti i nuovi certificati. Ad ogni modo quella di Mozilla è una decisione le cui modalità precise sono in fase di consultazione comunitaria , soprattutto sotto due aspetti: la tempistica da adottare e se consentire a WoSign di chiedere la riammissione dopo la rigenerazione dei root certificate .

Al momento Google non ha commentato sulle proprie intenzioni in risposta all’investigazione di Mozilla. Nessuna risposta concreta nemmeno da WoSign, fatta eccezione per il rilascio di un comunicato ufficiale sull’acquisizione di StartCom, completata il 19 settembre.

Stefano De Carlo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Mao99 scrive:
    Info
    Forse sono uno dei pochi che ritiene questi acXXXXXri (di qualunque marca) carini, ma inutili.
    • Galacticus scrive:
      Re: Info
      - Scritto da: Mao99
      Forse sono uno dei pochi che ritiene questi
      acXXXXXri (di qualunque marca) carini, ma
      inutili.dipende se sono muniti del gsm oppure no, puoi lasciare a casa il telefono e portati dietro solo l'orologio
      • maxsix scrive:
        Re: Info
        - Scritto da: Galacticus
        - Scritto da: Mao99

        Forse sono uno dei pochi che ritiene questi

        acXXXXXri (di qualunque marca) carini, ma

        inutili.

        dipende se sono muniti del gsm oppure no, puoi
        lasciare a casa il telefono e portati dietro solo
        l'orologioConcordo, un watch (come Apple Watch) che richiede la presenza anche di uno smartphone per la connettività è una porcheria.Posso anche rinunciare alla telefonata in se, ma cavolo, voglio la connessione sempre e ovunque, altrimenti a che XXXXXXX serve?
Chiudi i commenti