Se il browser vi dice che alcuni siti non sono più sicuri, dovete sapere che…
Non è stato un bell’inizio di marzo per circa 23.000 proprietari di certificati HTTPS, dopo che il CEO di Trustico ha inviato le chiavi private dei propri clienti ad un partner. La società si è così trovata costretta a revocarle, visto che ormai erano diventate “compromesse”. La storia ha avuto inizio nella prima parte della settimana ma è scoppiata solo da alcuni giorni quando molti dei clienti si sono ritrovati all’interno di un intreccio ingarbugliato, pieni di domande e in cerca di risposte.
Tutto ha avuto inizio quando DigiCert, una società che si occupa del rilascio di certificati HTTPS, ha inviato e-mail ai clienti di Trustico, che i certificati li vende, per avvisarli che i certificati acquistati erano stati riportati come compromessi. DigiCert ha sottolineato che tutti i certificati non sicuri verranno revocati, costringendo però i siti ad abbandonare la protezione HTTPS fino a quando non otterranno un nuovo certificato sicuro e funzionante.
Se non bastasse, alcune ore dopo la divulgazione della notizia il sito ufficiale di Trustico è andato down perché una vulnerabilità critica presente nel codice era stata divulgata su Twitter. Alcune settimane prima, inoltre, Trustico aveva dichiarato che avrebbe smesso di vendere certificati rilasciati da Symantec, l’anno scorso acquisita da DigiCert, in merito alla decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi.
Trustico ha inoltre richiesto a DigiCert di revocare circa 50 mila certificati che aveva già rilasciato, probabilmente perché, visto quanto successo, i browser li avrebbero segnalati come non sicuri. Alcuni esperti di sicurezza sostengono però che la scelta di Trustico sia relativa alla volontà di spostare i suoi certificati a favore dell’altro partner, abbandonando Symantec per Comodo. Infine, DigiCert si è rifiutata di effettuare l’operazione sulla base delle stesse norme che regolano l’industria, per cui solo il cliente può decidere se revocare il certificato se non sussistono prove di eventuali compromissioni delle chiavi crittografiche.
Di tutta la vicenda sono sconcertanti alcuni aspetti: in primo luogo è assurdo il fatto che siano state compromesse delle chiavi private dei clienti, dal momento che queste stesse dovrebbero essere in possesso solo ed esclusivamente degli stessi clienti. Le compagnie non dovrebbero averne traccia sui loro sistemi, ma a quanto pare Trustico le aveva a disposizione in unità di “cold storage”, quindi unità di archiviazione senza accesso ad internet. Gli utenti che si affidano al servizio possono generare un Certificate Signing Request e una Private Key, e quest’ultima viene salvata per necessità di revoca del certificato.
È chiaro però che se la chiave viene rubata, qualsiasi aggressore può impersonare un sito, inoculare dati sui server utilizzati e anche rubare quelli che sono presenti. Secondo alcuni esperti di web encryption citati dalla stampa internazionale, inoltre, il salvataggio delle chiavi private sembra essere fatto senza la consapevolezza dell’utente, che non esprime il consenso esplicito. Al momento in cui scriviamo comunque la revoca è stata fatta solo per i primi 23 mila certificati, lasciando attivi i restanti 27 mila certificati segnalati da Trustico. È comunque probabile che sentiremo nuovamente parlare dell’argomento. (fonte)
