A breve Chrome non considererà più attendibili decine di migliaia di certificati emessi da Symantec. Quello annunciato ieri è un nuovo capitolo dell’annosa questione in essere fra Google e la società di sicurezza, che ha avuto un picco nel 2015 in seguito a una serie di certificati emessi “per errore” da Symantec. Con un annuncio pubblicato su un forum, Big G ha sottolineato che Chrome adotterà progressivamente una nuova tabella di marcia per sfiduciare i certificati del vendor detentore, tra le altre cose, del marchio Norton. L’obiettivo, come dichiarato, è quello di “ripristinare fiducia e sicurezza degli utenti”. Sono già fuori dai giochi tutti i certificati emessi con crittografia Sha-1, protocollo non più supportato da Chrome, ma a tendere il browser diffiderà anche di tutti quelli esistenti oggi e di quelli che non rispetteranno precisi paletti temporali.
Si parte quindi dai 33 mesi di validità massima per Chrome 59, per arrivare ai 9 di Chrome 64, anche se è allo studio una seconda strategia ancora più restrittiva: considerare cioè una validità standard di nove mesi per tutti i certificati già a partire da Chrome 61. Si tratta certamente di un duro colpo per Symantec, che nel 2015 deteneva il 30 per cento di quote nel mercato della certificazione delle pagine Web.
Secondo Google l’azienda avrebbe emesso nel corso degli anni almeno 30mila certificati senza i dovuti controlli, a cui si sarebbe aggiunta anche una serie di carenze nella gestione precedente di set di “attestati”. Questo ha indotto Big G a 2non avere più fiducia nelle policy e nelle pratiche di Symantec”.
La reazione della società di sicurezza non si è ovviamente fatta attendere. In un blog post, la compagnia ha spiegato di disapprovare l’azione di Google e ha parlato di un comportamento “inaspettato” e “irresponsabile”. “Speriamo non sia stata una cosa calcolata per creare incertezza e dubbi nella comunità di Internet sui nostri certificati Ssl/Tls”, ha aggiunto Symantec, che ha proseguito.
“Le dichiarazioni di Google sulle nostre prassi di emissione e sulla portata delle problematiche sono esagerate e fuorvianti. Per esempio, l’affermazione di Google sull’errata emissione di 30mila certificati Ssl/Tls è falsa. Nell’evento a cui si fa riferimento sono stati 127 – e non 30mila – i certificati errati e non sono risultati in un danno per i consumatori. Abbiamo preso contromisure appropriate per rimediare”.
Tra queste spicca la cessazione del rapporto con un non meglio specificato partner nelle vesti di registration authority (Ra) e l’interruzione del programma Ra interno. “Questo miglioramento nei controlli rappresenta una mossa importante che altre certification authority pubbliche non hanno ancora fatto”, ha concluso Symantec.