Scaramucce tra giganti. Google ha gentilmente “invitato” Symantec a far sparire dal Web entro il primo giugno 2016 una serie di certificati crittografici non regolari che sono stati emessi però, secondo quanto dichiarato dall’azienda di sicurezza, per errore. La questione è abbastanza complessa e si trascina da diverse settimane. Il 18 settembre scorso Symantec ha scoperto e immediatamente reso nota la diffusione di certificati Transport layer security (Tls) inappropriati per diversi domini (compresi quelli di Google, che non li ha mai richiesti). La compagnia, in un articolato report pubblicato in una prima versione il 2 ottobre, ha sottolineato come i documenti elettronici fossero comunque sotto pieno controllo e non rappresentassero alcun rischio per utenti e organizzazioni. Per aumentare la trasparenza Symantec, tramite la controllata Thawte e in qualità anche di autorità certificativa leader di mercato, si è subito attivata per comunicare il problema a tutti i proprietari dei domini coinvolti e per procedere alla risoluzione dell’incidente.
Oltre a Google, l’azienda è entrata in contatto con Opera e con altre tre realtà di cui però non si conosce il nome. In seguito a un primo audit approfondito su tutti i certificati (oltre centomila) realizzati dal 1995 al 2015, il colosso della sicurezza ne ha identificati 23 emessi in modo non appropriato. Sei di questi erano riconducibili ai domini di Google. Ma, siccome a pensare male si fa peccato ma spesso ci si azzecca, Big G non si è fidata e ha scoperto altri 164 certificati realizzati senza permesso in 76 domini, non elencati nel report di Symantec, oltre a 2.458 attestati elettronici emessi per ulteriori domini che non sono mai stati registrati.
E qui è scattato l’ultimatum della compagnia di Mountain View. “Chiediamo che dal primo giugno 2016 tutti i certificati emessi da Symantec supportino lo standard Certificate Transparency (un framework dell’Internet Engineering Task Force sviluppato per il monitoraggio dei certificati digitali, ndr) […] Dopo questa data, tutti i certificati emessi da Symantec che non dovessero rispettare le policy Chromium Certificate Transparency potrebbero incappare in una serie di problemi quando utilizzati con prodotti Google”. In particolare Chrome.
L’ira di Mountain View è giustificata. Un utilizzo inappropriato di questi attestati elettronici potrebbe dare la possibilità ai pirati informatici di ingannare i browser Web, facendo credere ai software di essere collegati a siti di proprietà di Google. Gli hacker potrebbero così reindirizzare la connessione verso server controllati e far cadere gli utenti nella trappola. Allarmata dai “venti di guerra” provenienti da Big G, Symantec si è attivata e ieri ha aggiornato il report, includendo nell’elenco anche i certificati inizialmente omessi.
Inoltre, l’azienda di sicurezza dovrà fornire a Google una timeline dettagliata sul processo che sottostà alla creazione di ogni certificato, oltre a una lista di impegni che si dovrà assumere per evitare nuovi incidenti di percorso. Ovviamente, trattandosi di informazioni confidenziali, Big G non diffonderà nulla al pubblico. E non è finita qui. Symantec dovrà assumere un auditor indipendente per controllare che le chiavi private non siano state esposte e che il software preposto a questa verifica funzioni senza problemi.
Una bella batosta per l’azienda, che non ha potuto fare altro che ammettere l’errore. “Sebbene non ci siano prove di danni causati a utenti e organizzazioni, questa procedura di testing non ha soddisfatto i nostri standard”, ha spiegato un rappresentante di Symantec al sito Register. “Per prevenire altri problemi in futuro abbiamo già implementato ulteriori strumenti, policy e processi a tutela, oltre a piani specifici per la registrazione di tutti i certificati sotto la dicitura Certificate Transparency”. Ma i guai per Symantec potrebbero essere appena all’inizio. Sembra infatti che Mozilla si stia muovendo per chiedere spiegazioni. Un comportamento che potrebbe essere imitato a breve anche da altri player.