Con un post dall’aria spazientita, Google ha annunciato la propria intenzione di voler invalidare gradualmente decine di migliaia di certificati emessi da Symantec negli ultimi anni, questo perché, in seguito ai risultati delle indagini condotte dal team di sviluppo di Google Chrome, Big G non ha più “fiducia nelle policy e nelle pratiche istituite da Symantec per il rilascio dei propri certificati”.
Come una vera e propria bomba ad orologeria, il team ha recentemente proposto una tabella di marcia per un incrementale distrust dei certificati rilasciati da Symantec CA con l’obiettivo dichiarato di “ripristinare la fiducia e la sicurezza dei propri utenti”: si partirà da una validità massima di 33 mesi (1.023 giorni) per i certificati accettati dalla release 59 del popolare browser, per arrivare ai 9 mesi (279 giorni) della versione 64 di Chrome. Tra i due estremi sono stati ovviamente definiti diversi step al ribasso (tranne che per la release Stable di Chrome 63 in quanto schedulata per il rilascio durante le festività invernali), come indicato di seguito:
– Chrome 59 (Dev, Beta, Stable): 33 mesi (1023 giorni)
– Chrome 60 (Dev, Beta, Stable): 27 mesi (837 giorni)
– Chrome 61 (Dev, Beta, Stable): 21 mesi (651 giorni)
– Chrome 62 (Dev, Beta, Stable): 15 mesi (465 giorni)
– Chrome 63 (Dev, Beta): 9 mesi (279 giorni)
– Chrome 63 (Stable): 15 mesi (465 giorni)
– Chrome 64 (Dev, Beta, Stable): 9 mesi (279 giorni)
Da ultimo, Google ha anche proposto una validità standard di 9 mesi per tutti i nuovi certificati , a partire dalla versione 61 di Chrome.
Le prime due ondate non dovrebbero causare molti problemi a Symantec, poiché come specificato da Google nel proprio post la maggioranza di tali certificati è stata rilasciata utilizzando il protocollo di cifratura SHA-1 (già non più supportato da Chrome), ma il colosso della sicurezza pare non averla presa bene: tramite un articolo sul proprio blog, Symantec ha definito “inaspettata” la decisione di Big G, bollando il post del Google Chrome Team come “irresponsabile”. Secondo Symantec, infatti, i dati riportati da Google circa la quantità di certificati compromessi sarebbero oltremodo “esagerati e fuorvianti”.
Nell’articolo di risposta viene inoltre fatto notare come, “benché i certificati identificati da Google appartenessero anche a diverse altre CA”, Google abbia “isolato” la CA di Symantec, sollevando così il dubbio che Big G possa averla in qualche modo presa di mira.
Concludendo la propria arringa difensiva dichiarandosi disposta a discutere del problema con Google per risolvere la situazione, Symantec ha anche voluto ricordare il proprio costante impegno nel rendere sicura la Rete, rassicurando utenti e clienti sulla sicurezza dei propri certificati SSL/TLS.
Niccolò Castoldi