Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL
I certificati digitali in questione sarebbero stati compromessi, ma tutta la vicenda sembra avere come origine una guerra commerciale tra le due aziende.
Negli ultimi mesi molti sviluppatori di browser hanno dato un deciso “giro di vite” in tema di sicurezza e i siti che non offrono connessioni sicure su protocollo HTTPS rischiano che i visitatori vengano bloccati al momento della connessione.
Per chiunque gestisca un sito Internet, quindi, ritrovarsi con un certificato annullato nel giro un giorno è una bella gatta da pelare. Ieri è successo a 23.000 persone.
Come ha segnalato un lettore a Security Info, La revoca dei 23.000 certificati è arrivata da DigiCert, un “agglomerato” che raccoglie in sé fornitori di certificati digitali come Symantec, GeoTrust, Thawte, e RapidSSL, e che ha disposto la revoca in 24 ore di tutti i certificati forniti a uno specifico rivenditore.
Per gli utenti italiani, poi, i tempi sono stati ancora più stretti. L’avviso è arrivato durante la notte e molti dei gestori di siti Internet si sono trovati a dover sostituire il certificato in una manciata di ore.
Ma cos’è successo esattamente? Tutto è partito da Trustico, un’azienda con sede nel Regno Unito la cui attività è fornire certificati digitali ai siti Internet acquistandoli da DigiCert.
Sarebbe stata proprio l’azienda britannica, secondo quanto è stato ricostruito, a segnalare che i certificati in questione sarebbero stati in qualche modo compromessi e fosse necessaria la sua revoca.
Le cose, però, sembrano un po’ più complicate. Da quanto è emerso, infatti, Trustico non avrebbe spiegato con esattezza come tutto ciò sarebbe avvenuto e la revoca dei certificati sarebbe il frutto di “un colpo di mano” dell’azienda stessa.
Proviamo a riassumere gli eventi per come sono emersi dalle ricostruzioni attraverso le dichiarazioni dei protagonisti in campo.
Il 2 febbraio, Trustico chiede a DigiCert di revocare tutti i certificati (circa 50.000) che fanno riferimento ai suoi clienti. Il motivo, a quanto si capisce, è che Trustico stessa ha deciso di chiudere il suo rapporto con DigiCert e avviare una partnership con Comodo, un altro fornitore di certificati.
La richiesta viene respinta e da qui parte una battaglia contrattuale tra le due società, con DIgiCert che sostiene di non poter revocare i certificati su richiesta di un rivenditore, ma solo quando lo chiede l’utilizzatore del certificato stesso. In alternativa, i certificati possono essere revocati nel caso in cui vi sia prova che siano stati compromessi.
Il 27 febbraio DigiCert dichiara di aver ricevuto un’email da Trustico con allegate 23.000 chiavi private dei suoi clienti. Chiavi, queste, che non dovrebbero essere in possesso di Trustico. L’email stessa, in pratica, è la prova che i certificati devono essere considerati compromessi.
“Trustico ci ha mandato un documento con tutte le chiavi, quindi siamo costretti a revocarle”. La frase suona decisamente come un atto di accusa…
A questo punto DigiCert dice di non avere alternativa se non quella di revocare i certificati e invia la comunicazione a tutti i possessori.
Finito qui? No. Perché a complicare ulteriormente la vicenda arrivano le dichiarazioni di Trustico che nega qualsiasi problema di sicurezza relativo ai certificati in questione e spiega che la richiesta di revoca deriva dal fatto che quei certificati sono stati forniti, in origine, da Symantec prima che DigiCert acquisisse quel ramo dell’attività della società di sicurezza.
La richiesta di revoca sarebbe la conseguenza di perdita di fiducia nei confronti di Symantec, giustificata dal modo in cui la società avrebbe gestito la sua attività. Sullo sfondo c’è la vicenda legata alla decisione di Google e Mozilla di non considerare più validi i certificati di Symantec a partire da aprile.
L’impressione di molti, insomma, è che la mossa di Trustico sia un tentativo di portare tutti i suoi clienti a utilizzare certificati emessi da Comodo prima che comincino ad avere problemi con gli utenti che navigano con Chrome e Firefox.
Insomma: la situazione è terribilmente ingarbugliata e a farne le spese, per il momento, sono solo gli utenti finali. Stando alle dichiarazioni delle due aziende, infatti, dovrebbero in ogni caso avere gratuitamente dei nuovi certificati, ma nel caos che si è generato i tempi non sono assolutamente certi e per chi gestisce un sito Web, anche qualche ora di stop può rappresentare un disastro.
Condividi l'articolo
- certificati digitali, Chrome, DigiCert, Firefox, Google, Internet, Marco Schiaffino, Mozilla, SSL, Symantec, Trustico
Rapporto Clusit: il cyber-crimine fa danni per 500 miliardi di dollari
Vuoi un tema gratis per WordPress? In omaggio c’è anche il trojan!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
3 thoughts on “Trustico e DigiCert litigano: 23.000 siti Web restano senza certificati SSL”