Certificati SSL: sicurezza e indicizzazione saltati per una lite tra Trustico e DigiCert
Attenzione: comunicato passato
DigiCert, la compagnia che raccoglie in sé fornitori di certificati digitali come Symantec, GeoTrust, Thawte, e RapidSSL, ha pubblicato sul proprio sito web la seguente dichiarazione riguardante la revoca del certificato Trustico:
"Trustico ha richiesto la revoca dei certificati Symantec, GeoTrust, Thawte e RapidSSL, sostenendo che i certificati erano stati compromessi. Quando abbiamo chiesto la prova del "compromesso", Trustico non ha fornito dettagli sul motivo per cui chiedevano la revoca immediata. Il CEO di Trustico ha indicato che Trustico possedeva le chiavi private per tali certificati e quindi ci ha inviato via email circa 20.000 chiavi private certificate. Quando ci ha inviato quelle chiavi, la sua azione non ci ha dato altra scelta se non agire in conformità con i requisiti di base del Forum CA/Browser che ci impongono di revocare un certificato compromesso, entro 24 ore. Come CA, non avevamo altra scelta che seguire i Requisiti di base. Seguendo il nostro processo di revoca standard abbiamo dato notifica via e-mail a ciascun titolare del certificato le cui chiavi private ci erano state esposte da Trustico, in modo che potessero avere il tempo di ottenere un certificato sostitutivo.
Nelle comunicazioni di oggi, Trustico ha suggerito che questa revoca è dovuta alla diffidenza imminente di Google Chrome sulle radici di Symantec. Ciò non è corretto. Vogliamo chiarire che i certificati dovevano essere revocati perché Trustico ci ha inviato le chiavi private; questo non ha nulla a che fare con le future potenziali date di sfiducia.
L'imminente situazione di sfiducia di Chrome è completamente a sé stante. Stiamo lavorando a stretto contatto per aiutare i clienti con certificati interessati dalla sfiducia dei browser e stiamo offrendo certificati sostitutivi gratuiti attraverso i loro portali clienti esistenti. Questo processo è ben avviato.
PREMESSA
Negli ultimi mesi molti sviluppatori di browser hanno dato un deciso "giro di vite" in tema di sicurezza e i siti che non offrono connessioni sicure su protocollo HTTPS rischiano che i visitatori vengano bloccati al momento della connessione.
Per chiunque gestisca un sito Internet, quindi, ritrovarsi con un certificato annullato nel giro un giorno è una bella gatta da pelare. Ieri è successo, per l'appunto, a 23.000 persone.
Come ha segnalato un lettore a Security Info, La revoca dei 23.000 certificati è arrivata da DigiCert che ha disposto la revoca in 24 ore di tutti i certificati forniti a uno specifico rivenditore.
Per gli utenti italiani, poi, i tempi sono stati ancora più stretti. L'avviso è arrivato durante la notte e molti dei gestori di siti Internet si sono trovati a dover sostituire il certificato in una manciata di ore.
COSA È ACCADUTO ESATTAMENTE
Tutto è partito da Trustico, un'azienda con sede nel Regno Unito la cui attività è fornire certificati digitali ai siti Internet acquistandoli da DigiCert.
Sarebbe stata proprio l'azienda britannica, secondo quanto è stato ricostruito, a segnalare che i certificati in questione sarebbero stati in qualche modo compromessi e fosse necessaria la sua revoca.
La situazione sembra essere più complicata di così. Da quanto è emerso, infatti, Trustico non avrebbe spiegato con esattezza come tutto ciò sarebbe avvenuto e la revoca dei certificati sarebbe il frutto di una mossa a sorpresa dell'azienda stessa.
Ecco un tentativo di raissunto dell'accaduto, per come sono emersi dalle ricostruzioni degli eventi attraverso le dichiarazioni dei protagonisti in campo.
Il 2 febbraio, Trustico chiede a DigiCert di revocare tutti i certificati (circa 50.000) che fanno riferimento ai suoi clienti. Il motivo, a quanto si capisce, è che Trustico stessa ha deciso di chiudere il suo rapporto con DigiCert e avviare una partnership con Comodo, un altro fornitore di certificati.
La richiesta viene respinta e da qui parte una battaglia contrattuale tra le due società, con DIgiCert che sostiene di non poter revocare i certificati su richiesta di un rivenditore, ma solo quando lo chiede l'utilizzatore del certificato stesso. In alternativa, i certificati possono essere revocati nel caso in cui vi sia prova che siano stati compromessi.
Il 27 febbraio DigiCert dichiara di aver ricevuto un'email da Trustico con allegate 23.000 chiavi private dei suoi clienti. Chiavi, queste, che non dovrebbero essere in possesso di Trustico. L'email stessa, in pratica, è la prova che i certificati devono essere considerati compromessi.
"Trustico ci ha mandato un documento con tutte le chiavi, quindi siamo costretti a revocarle". Twitta Flavio Martins, Supervisore Ufficiale Operativo di DIgiCert; la frase suona decisamente come un atto di accusa.
A questo punto DigiCert dice di non avere alternativa se non quella di revocare i certificati e invia la comunicazione a tutti i possessori.
Di controparte, Trustico nega qualsiasi problema di sicurezza relativo ai certificati in questione e spiega che la richiesta di revoca deriva dal fatto che quei certificati sono stati forniti, in origine, da Symantec prima che DigiCert acquisisse quel ramo dell'attività della società di sicurezza.
La richiesta di revoca sarebbe la conseguenza di perdita di fiducia nei confronti di Symantec, giustificata dal modo in cui la società avrebbe gestito la sua attività. Sullo sfondo c'è la vicenda legata alla decisione di Google e Mozilla di non considerare più validi i certificati di Symantec a partire da aprile.
L'impressione di molti, insomma, è che la mossa di Trustico sia un tentativo di portare tutti i suoi clienti a utilizzare certificati emessi da Comodo prima che comincino ad avere problemi con gli utenti che navigano con Chrome e Firefox.
CONCLUSIONI
Non ci sono conclusioni definitive, tuttavia si può ben comprendere come la situazione sia estremamente ingarbugliata e che, a farne le spese, per il momento, sono solo gli utenti finali. Stando alle dichiarazioni delle due aziende, infatti, dovrebbero in ogni caso avere gratuitamente dei nuovi certificati ma nel caos che si è generato i tempi non sono assolutamente certi e per chi gestisce un sito Web, anche qualche ora di stop può rappresentare un disastro.
L'articolo più letto
Eliminato il 75% dello spamming
Riferimento: La Repubblica Debellati i tre quarti dei messaggi indesiderati dopo la chiusura di...