Il team di sviluppatori di Google Chrome, in accordo con Symantec, si accinge a invalidare tutti i certificati SSL rilasciati dalla società nel corso degli anni.
Il processo avverrà gradualmente, in modo da dare ai siti che utilizzano certificati Symantec – o certificati che siano garantiti da Symantec – il tempo necessario per la loro sostituzione. Stando a quanto dichiarato da BleepingComputer , Symantec continuerà a rilasciare certificati come CA Root fino al 1 dicembre 2017. Successivamente a tale data, l’azienda potrà rivolgersi ad un’altra Certificate Authority affinché questa rilasci certificati a suo nome, diventando di fatto una Subordinate Certificate Authority (SubCA) .
Chrome 66, che sarà rilasciato nell’aprile 2018, non accetterà i certificati Symantec anteriori al 1 giugno 2016; in seguito Chrome 70, che verrà rilasciato approssimativamente nell’ottobre 2018, sarà la prima versione a non accettare tutti i certificati rilasciati da Symantec come CA Root.
Questo iter è giustificato dalla scoperta di una serie di violazioni da parte di Symantec sulle regole imposte dal CA Browser Forum per il rilascio dei certificati: Symantec avrebbe dato libero accesso alla propria infrastruttura ad almeno quattro business partner; ciò ha comportato il rilascio incontrollato di 30.000 certificati nel corso degli anni.
Il team di Mozilla, che per primo scoprì il problema lo scorso gennaio , ha dichiarato che intraprenderà azioni analoghe per quanto riguarda il browser Firefox, anche se non ha ancora rilasciato un proprio piano d’azione.
Anche tutti i certificati rilasciati dalle SubCA di proprietà di Symantec, come GeoTrust, Thawte, RapidSSL, sono impattati da questo provvedimento di Mountain View.
Elia Tufarolo