Alfonso Maruccia

Microsoft, Google e Yahoo contro i certificati fasulli

Un nuovo caso relativo al protocollo SSL spinge le tre aziende a intervenire di concerto. Impegnata soprattutto Microsoft, che deve rivedere la gerarchia dei certificati attendibili su Windows

Roma - In questi giorni Internet ha attraversato un periodo difficile a causa di una serie di certificati fasulli emessi dal National Informatics Centre (NIC) indiano, certificate authority (CA) di primaria importanza presente nel Trusted Root Certification Authorities Store e ritenuta fidata anche sulle piattaforme software di Microsoft.

I certificati - emessi erroneamente, a quanto pare - sono stati identificati da Google, che ha subito provveduto ad avvisare Microsoft del problema. Redmond si è mossa celermente pubblicando un apposito bollettino di sicurezza, evocando la possibilità di attacchi man-in-the-middle con eventuali malintenzionati "camuffati" dietro le identità di Google e Yahoo per spiare il traffico SSL dei browser Web degli utenti.

Microsoft ha quindi provveduto ad aggiornare la Certificate Trust List (CTL) invalidando i certificati incriminati su sistemi operativi per computer (da Windows Vista in poi), smartphone (Windows Phone 8) e Server. Su PC l'aggiornamento interessa il software progettato per girare su OS Windows, inclusi i browser Internet Explorer e Google Chrome, mentre Firefox basa i propri giudizi di affidabilità dei certificati su un'infrastruttura diversa.
Anche Google e Yahoo hanno provveduto a revocare i certificati fasulli prima che qualche cyber-guastatore potesse sfruttare la situazione a proprio vantaggio, e dunque la crisi dovrebbe essere definitivamente rientrata. Resta il rischio, perenne, di una infrastruttura dei CA sempre più traballante e pericolosa per l'intera Rete.

In questi giorni Microsoft ha infine dato il proprio contributo per concludere un'altra crisi di, vale a dire il caso riguardante il sequestro dei sottodomini di No-IP in seguito alla scoperta di un malware progettato per abusare del popolare servizio di DNS dinamico: gli utenti di No-IP avevano già potuto tornare a usare il servizio dopo il "dissequestro" da parte di Redmond, e ora la questione sembra essere definitivamente chiusa con la disabilitazione - apparentemente volontaria - dei sottodomini abusati dai malware scovati da Microsoft.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle e i certificati francesi spioniMountain View coglie le autorità francesi a servirsi di certificati falsi per monitorare i dipendenti. I certificati sono stati revocati ma resta il problema dell'affidabilità di un sistema fallato, denuncia Google
  • AttualitàIl ritorno di No-IPMicrosoft abdica i suoi propositi. I domini tornano al proprietario originario. Che lavora per ripristinare il servizio che nelle ultime ore è andato a singhiozzo
1 Commenti alla Notizia Microsoft, Google e Yahoo contro i certificati fasulli
Ordina
  • insomma la solita solfa... M$ che fa danni (indiretti) in giro per il pianeta..

    - scrausi certificati indiani la cui CA e' considerata trusted solo da windows (e crea qualche rogna in giro)
    - l'hijack dei domini no-ip da parte di M$ e' andato come mi ero immaginato (anzi ancora piu rapido)... ha tenuto la roba poco tempo (nsa anyone?) e previo settlement dai contorni ignoti i domini son tornati al proprietario e ci ha fatto la figura di palta (sceneggiata?) ...
    non+autenticato