Alfonso Maruccia

Google estromette la Certificate Authority cinese

Un certificato emesso per errore mette a rischio i siti di Mountain View: la Grande G si inalbera, decidendo infine di mettere alla porta tutti i nuovi certificati della CA incriminata. Un pasticciaccio in cui anche Mozilla sceglie di prendere posizione

Roma - L'incidente del certificato di MCS Holdings, società egiziana che avrebbe potuto di fatto impersonare Google e quindi mettere a rischio le comunicazioni degli utenti, provoca un autentico scontro fra titani con Mountain View impegnata a mettere al bando la Certificate Authority cinese Chinese Internet Network Information Centre (CNNIC) su Chrome.

CNNIC dipende direttamente dal ministero cinese per l'industria e l'informazione, ed è una delle autorità regionali riconosciute nella gestione dei certificati di sicurezza utilizzati dai browser e software connessi in giro per il mondo. Ma CNNIC è anche responsabile di aver fornito a MCS Holdings un certificato con privilegi troppo alti.
Sia la CA che MCS Holdings hanno in questo giorni confermato che si è trattato di un errore durante un test su nuovi servizi cloud, e certamente non vi era intenzione di danneggiare in qualche modo Google e i suoi utenti.

A Mountain View, però, le dichiarazioni di intenti non bastano: la corporation ha deciso di tagliare fuori dalla rete i certificati emessi da CNNIC. Una mossa che, polemiche a parte, è destinata ad avere conseguenze significative sui servizi di rete cinesi (e non) vista l'importanza delle parti in causa.
I certificati Root di CNNIC non verranno più riconosciuti nei prodotti Google, ha confermato Mountain View, e per fornire ai clienti il tempo di correre ai ripari i certificati già emessi continueranno a essere validi per un periodo di tempo limitato.

A CNNIC Google dà la possibilità di riproporsi per l'aggiunta nella whitelist dei certificati una volta che saranno stati implementati gli "opportuni" controlli per evitare il verificarsi di un nuovo caso MCS Holdings. Per contro CNNIC reagisce alla mossa di Google parlando di una decisione "inaccettabile e incomprensibile".

L'associazione di giornalisti CPJ è invece con Google, visto che "errori" come quello del CA cinese possono mettere a rischio la sicurezza dei reporter esposti. Mozilla ha nel frattempo deciso di seguire Google mettendo al bando CNNIC, mentre Microsoft è ancora impegnata nelle indagini.

Alfonso Maruccia
Notizie collegate
  • SicurezzaRete cifrata, Rete bucataEnnesimo attacco che prende di mira le comunicazioni SSL/TLS: anche in questo caso si parla di vulnerabilità di lunga data contro algoritmi oramai obsoleti. Google, nel mentre, deve fare i conti con i soliti certificati non autentici
8 Commenti alla Notizia Google estromette la Certificate Authority cinese
Ordina