Continua il battibecco tra Google e Symantec. A distanza di quasi due mesi dal problema dei certificati irregolari emessi “per errore” dalla società di sicurezza, Big G ha deciso di sospendere totalmente la fiducia al certificato root “Class 3 Public Primary Ca” su Chrome, Android e su tutti gli altri prodotti software della propria offerta. I cambiamenti saranno effettivi nelle prossime settimane, ma il messaggio è chiaro fin da subito: tutte le persone che incapperanno nei siti collegati a certificati digitali riconducibili alla Ca root di Symantec verranno a breve “rimbalzati” dal software di Mountain View. Big G non ha infatti intenzione di mettere a repentaglio la sicurezza dei propri utenti, in quanto il root di Symantec, come si apprende dall’annuncio fatto dalla società, dallo scorso primo dicembre non aderisce più ai requisiti standard stabiliti dal Ca/Browser Forum per l’emissione e la gestione dei certificati pubblici. Ma, nonostante questo, Symantec è intenzionata (secondo Google) a utilizzarlo comunque per altri scopi non ancora ben definiti.
Il Ca root, emesso per la prima volta circa vent’anni fa e siglato inizialmente da Verisign, è ritenuto affidabile dalla maggior parte dei browser e dei sistemi operativi ed è stato utilizzato in tutti questi anni per l’emissione di una miriade di certificati code signing e Tls/Ssl. Tutti i possessori di certificati digitali che sono riconducibili alla “Class 3” devono quindi al più presto ottenerne di nuovi, in modo gratuito tramite Symantec, per collegarli a una root più moderna e sicura.
Il colosso di Mountain View, come detto, ha però deciso di risolvere il problema alla radice e di vietare l’accesso a siti Web collegati a questi certificati. L’obiettivo è evitare che in futuro qualche malintenzionato possa “intercettare, interrompere o imitare le comunicazioni sicure dei prodotti Google”, approfittando magari della mancata conformità agli standard definiti dall’ente regolatorio Ca/Browser Forum.
Almeno a livello teorico, come sottolineato anche da Symantec, nessuno dei clienti che implementano protocolli sicuri, come l’Https, verrà colpito da questo cambiamento, ma è possibile che nel prossimo futuro qualche utente riceva errori in caso di tentato accesso a siti certificati dal root ormai caduto in disuso. E la società di sicurezza, anche per questo motivo, ha prontamente definito troppo allarmistico il blogpost di Google: “Disponiamo di molti certificati root che sono embedded in molti clienti. In questo caso abbiamo semplicemente notificato tutti gli sviluppatori di browser per avvisarli della rimozione del vecchio root”, ha commentato a The Register Michael Klieman, Svp of product management di Symantec.
Questo root, inoltre, ultimamente sarebbe stato utilizzato solo per scopi interni e, come confermato anche da un portavoce dell’azienda, non era sfruttato ormai da diversi anni per generare nuovi certificati. Nello specifico, comunque, Symantec procederà alla rimozione di due versioni del gruppo “Class 3”, che non compariranno quindi più nella propria “trust list”. Un certificato è firmato con l’algoritmo Sha-1, hash ormai prossima all’abbandono, mentre l’altro presenta una funzione ancora più vecchia, la Md2. Entrambi i Ca sono stati emessi nel 1996 e sarebbero dovuti scadere nel 2028.