Alfonso Maruccia

Google, invalidati i certificati fasulli di Symantec

La security enterprise americana rilascia alcuni certificati crittografici invalidi, Google se ne accorge e li mette alla porta. Symantec conferma e licenzia gli impiegati responsabili dell'accaduto

Roma - Ancora un incidente a base di certificati crittografici non richiesti per Google, con la corporation dell'advertising che deve questa volta gestire alcuni certificati fasulli rilasciati da Thawte, Certificate Authority (CA) di proprietà della nota security enterprise Symantec.

Nei giorni scorsi Thawte ha rilasciato un certificato di Extended Validation (EV) per i domini google.com e www.google.com, ha riferito la corporation di Mountain View, ma l'emissione del certificato non era stata né richiesta né autorizzata ufficialmente da Google.

L'azienda si è accorta del problema grazie ai log di Certificate Transparency, un programma partito lo scorso 1 gennaio e pensato per identificare l'emissione di certificati EV. A quel punto Google ha contattato Symantec, che a sua volta ha avviato un'indagine interna per capire quel che era realmente accaduto.
La spiegazione finale di Symantec parla quindi di "una piccola quantità" di certificati di test emessi per errore da parte di un non meglio precisato numero di impiegati che non hanno seguito la policy aziendale come invece avrebbero dovuto. I certificati sono stati revocati "immediatamente" e gli impiegati responsabili sono stati licenziati, ha rassicurato Symantec.

I certificati non autorizzati emessi da CA di primo piano potrebbero permettere a un malintenzionato di impersonare i siti corrispondenti ai domini coinvolti (in questo caso google.com) su connessione HTTPS, e Google risulta essere particolarmente suscettibile a questo genere di incidente come dimostra anche il caso della CA cinese CNNIC emerso lo scorso aprile.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle estromette la Certificate Authority cineseUn certificato emesso per errore mette a rischio i siti di Mountain View: la Grande G si inalbera, decidendo infine di mettere alla porta tutti i nuovi certificati della CA incriminata. Un pasticciaccio in cui anche Mozilla sceglie di prendere posizione
  • SicurezzaAndroid e le nuove vulnerabilità di Certifi-gateSvelato l'ennesimo problema "sistemico" dell'OS mobile di Google, una serie di vulnerabilitÓ potenzialmente capaci di mettere completamente in ginocchio la sicurezza del terminale e dei dati dell'utente
  • SicurezzaRete cifrata, Rete bucataEnnesimo attacco che prende di mira le comunicazioni SSL/TLS: anche in questo caso si parla di vulnerabilitÓ di lunga data contro algoritmi oramai obsoleti. Google, nel mentre, deve fare i conti con i soliti certificati non autentici
4 Commenti alla Notizia Google, invalidati i certificati fasulli di Symantec
Ordina