Microsoft bandisce i certificati di WoSign e StartCom

Microsoft bandisce i certificati di WoSign e StartCom

Le due autorità cinesi non hanno rispettato gli standard richiesti dal Trusted Root Program per Windows 10. Dal 27 settembre i nuovi certificati non saranno più riconosciuti.
Le due autorità cinesi non hanno rispettato gli standard richiesti dal Trusted Root Program per Windows 10. Dal 27 settembre i nuovi certificati non saranno più riconosciuti.

Microsoft revoca i certificati delle autorità cinesi WoSign e StartCom per Windows 10. Dal 27 settembre, i nuovi certificati provenienti da queste società non verranno più accettati mentre quelli in essere continueranno a funzionare fino alla data della loro scadenza . Alla base della drastica decisione c’è il motivo che le due autorità non hanno mantenuto gli standard richiesti dal Trusted Root Program di Microsoft. In particolare, sono state rilevate pratiche inaccettabili per la sicurezza, come certificati back-dating SHA1, emissioni errate di certificati, revoche accidentali di certificati, duplicazione del numero seriale di certificati e violazioni multiple dei CAB Forum Baseline Requirements (BR).

In una nota , Microsoft dichiara di “valutare la comunità globale delle autorità di certificazione e di prendere queste decisioni dopo attenta considerazione, per la migliore sicurezza dei propri utenti”. WoSign e StartCom avevano già compromesso la propria reputazione circa un anno fa. Nell’ottobre 2016, SSL Labs affermava: “i vendor di browser hanno perso fiducia nelle capacità tecniche e di gestione di WoSign”. La società è stata inoltre accusata di “disonestà e frode continuata e persistente”.

I certificati emessi dalle due società sono purtroppo molto diffusi, poiché sono stati offerti in modo gratuito . WoSign è uno dei maggiori fornitori di certificati digitali in Cina, con una quota di mercato di circa il 70%. Il primo browser a non accettare più i certificati di WoSign e StartCom è stato Mozilla, seguito nello scorso luglio da Google Chrome e poi da Apple . Al momento, l’unico browser che ancora supporta i certificati delle due autorità cinesi messe sotto accusa è Opera, di proprietà del consorzio (cinese) Golden Brick Silk Road.
Una autorità di certificazione è un’entità che emette certificati digitali X.509 che verificano l’identità digitale su Internet. Questi comprendono il nome e la chiave pubblica del proprietario, la data di scadenza, il metodo di crittazione e altre informazioni circa la chiave pubblica del proprietario. Sono utilizzati tipicamente nei siti web sicuri, con il protocollo http, comunicazioni internet protette con Secure Sockets Layer (SSL) e Transport Layer Security (TLS) e nelle reti private virtuali (VPN). Utilizzare un certificato corrotto non offre una maggiore protezione rispetto a non utilizzarne alcuno.

Pierluigi Sandonnini

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
10 ago 2017
Link copiato negli appunti