Microsoft bandisce i certificati di WoSign e StartCom
Topic
Approfondimenti
Trending
tutti

Microsoft bandisce i certificati di WoSign e StartCom

Le due autorità cinesi non hanno rispettato gli standard richiesti dal Trusted Root Program per Windows 10. Dal 27 settembre i nuovi certificati non saranno più riconosciuti.
Sicurezza Antivirus
Le due autorità cinesi non hanno rispettato gli standard richiesti dal Trusted Root Program per Windows 10. Dal 27 settembre i nuovi certificati non saranno più riconosciuti.

Microsoft revoca i certificati delle autorità cinesi WoSign e StartCom per Windows 10. Dal 27 settembre, i nuovi certificati provenienti da queste società non verranno più accettati mentre quelli in essere continueranno a funzionare fino alla data della loro scadenza . Alla base della drastica decisione c’è il motivo che le due autorità non hanno mantenuto gli standard richiesti dal Trusted Root Program di Microsoft. In particolare, sono state rilevate pratiche inaccettabili per la sicurezza, come certificati back-dating SHA1, emissioni errate di certificati, revoche accidentali di certificati, duplicazione del numero seriale di certificati e violazioni multiple dei CAB Forum Baseline Requirements (BR).

In una nota , Microsoft dichiara di “valutare la comunità globale delle autorità di certificazione e di prendere queste decisioni dopo attenta considerazione, per la migliore sicurezza dei propri utenti”. WoSign e StartCom avevano già compromesso la propria reputazione circa un anno fa. Nell’ottobre 2016, SSL Labs affermava: “i vendor di browser hanno perso fiducia nelle capacità tecniche e di gestione di WoSign”. La società è stata inoltre accusata di “disonestà e frode continuata e persistente”.

I certificati emessi dalle due società sono purtroppo molto diffusi, poiché sono stati offerti in modo gratuito . WoSign è uno dei maggiori fornitori di certificati digitali in Cina, con una quota di mercato di circa il 70%. Il primo browser a non accettare più i certificati di WoSign e StartCom è stato Mozilla, seguito nello scorso luglio da Google Chrome e poi da Apple . Al momento, l’unico browser che ancora supporta i certificati delle due autorità cinesi messe sotto accusa è Opera, di proprietà del consorzio (cinese) Golden Brick Silk Road.
Una autorità di certificazione è un’entità che emette certificati digitali X.509 che verificano l’identità digitale su Internet. Questi comprendono il nome e la chiave pubblica del proprietario, la data di scadenza, il metodo di crittazione e altre informazioni circa la chiave pubblica del proprietario. Sono utilizzati tipicamente nei siti web sicuri, con il protocollo http, comunicazioni internet protette con Secure Sockets Layer (SSL) e Transport Layer Security (TLS) e nelle reti private virtuali (VPN). Utilizzare un certificato corrotto non offre una maggiore protezione rispetto a non utilizzarne alcuno.

Pierluigi Sandonnini

Pubblicato il 10 ago 2017

Link copiato negli appunti

Ti potrebbe interessare

Offerta esclusiva Norton: protezione e anonimato garantiti al 66% di sconto

Offerta esclusiva Norton: protezione e anonimato garantiti al 66% di sconto
Sicurezza informatica al top con Norton: scopri la migliore combo

Sicurezza informatica al top con Norton: scopri la migliore combo
Avast Ultimate 2024 in REGALO a 24€: da ATTIVARE SUBITO

Avast Ultimate 2024 in REGALO a 24€: da ATTIVARE SUBITO
2024: l'anno della sicurezza online con 6 consigli firmati Kaspersky

2024: l'anno della sicurezza online con 6 consigli firmati Kaspersky
Offerta esclusiva Norton: protezione e anonimato garantiti al 66% di sconto

Offerta esclusiva Norton: protezione e anonimato garantiti al 66% di sconto
Sicurezza informatica al top con Norton: scopri la migliore combo

Sicurezza informatica al top con Norton: scopri la migliore combo
Avast Ultimate 2024 in REGALO a 24€: da ATTIVARE SUBITO

Avast Ultimate 2024 in REGALO a 24€: da ATTIVARE SUBITO
2024: l'anno della sicurezza online con 6 consigli firmati Kaspersky

2024: l'anno della sicurezza online con 6 consigli firmati Kaspersky
Pierluigi Sandonnini
Pubblicato il
10 ago 2017
Link copiato negli appunti