Alfonso Maruccia

Google blocca i certificati turchi non autorizzati

Mountain View comunica di aver bloccato un certificato riconducibile a una CA turca, usato senza autorizzazione per impersonare l'identità del dominio Google.com. Ora anche la suddetta CA è sotto osservazione

Roma - A Natale il certificato digitale di Google.com non è un pacco dono ma una ID fasulla: è Google stessa a spiegare l'incidente avvenuto fra il 24 e il 25 dicembre scorsi, riconducendo la responsabilità alla Certificate Authority (CA) turca TURKTRUST.

Google dice di aver subito bloccato il certificato non autorizzato in Chrome, e dalle indagini è emerso che tale certificato era stato rilasciato da una CA intermedia - un tipo di autorizzazione che possiede la stessa autorità delle CA vere e proprie.

In seguito anche TURKTRUST ha svolto le proprie indagini, scoprendo che nell'agosto del 2011 aveva erroneamente rilasciato due certificati di CA intermedia al posto di certificati SSL standard. Tali certificati sono stati evidentemente utilizzati per firmare digitalmente la ID fasulla identificata e bloccata da Google.
Google spiega che la severità del problema richiederà un nuovo update a Chrome nel corso del mese corrente, mentre la revoca dei certificati di CA intermedia negli altri browser verrà deputata alle singole società produttrici. Mozilla ha già confermato di avere in cantiere un aggiornamento per il prossimo 8 gennaio.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCertificati, l'anello debole nella catenadi C. Giustozzi - Le vere infrastrutture critiche non sono quelle da cui dipende il funzionamento della Rete. Il vero punto debole sono i servizi da cui dipende la Rete stessa. Il caso delle Certificate Authorities
2 Commenti alla Notizia Google blocca i certificati turchi non autorizzati
Ordina