Google fa sapere di aver migliorato la propria sicurezza revocando alcuni certificati digitali non autorizzati, utili a impersonare l’identità del colosso di Mountain View ma utilizzati dalle istituzioni francesi per spiare. Parte il rimpallo delle responsabilità, ma il problema dei certificati insicuri ( per Google o per chiunque altro) resta.
I certificati fasulli erano stati autorizzati da una certificate authority (CA) intermedia, riconducibile però alla CA francese ANSSI e quindi sfruttabili per camuffare la vera identità dell’utilizzatore. Google ha subito modificato le impostazioni di configurazione di Chrome per bloccare la CA intermedia incriminato, avvertendo poi ANSSI dell’esistenza del problema.
A sua volta ANSSI si è giustificata parlando di un “errore umano” durante “un processo pensato per rafforzare la sicurezza IT generale del Ministero delle Finanze francese”, un processo che secondo le informazioni fornite da Google era stato in definitiva utile per spiare il traffico cifrato di un network privato.
I certificati fasulli venivano in sostanza impiegati per spiare i dipendenti del Ministero delle Finanze, una pratica che evidentemente in pubblico non può che essere giustificata come “errore umano” e che risulta utile almeno finché Google non se ne accorge , come è successo in questo caso.
Il sistema dei certificati e delle CA intermedie, “root” e compagnia, è di quelli strutturali, denuncia Mountain View, che non a caso gioca un ruolo di primaria importanza nello scandalo del Datagate e negli strumenti a disposizione della NSA per monitorare il traffico di rete criptato: urge una riforma.
Alfonso Maruccia