Sembra non esserci pace per Symantec, che dopo la ” sentenza ” di Google ha dovuto incassare anche il “niet” di Mozilla per quanto riguardo la controproposta che il gigante della security aveva suggerito qualche giorno fa come possibile soluzione ai propri problemi di certificati.
Nonostante gli sforzi profusi da Symantec nel cercare di raggiungere un compromesso tra rigore e continuità per il business dei propri clienti, per tramite del proprio sviluppatore Gervase Markham Mozilla fa sapere di “non essere convinta che Symantec abbia compreso fino in fondo la gravità della situazione”, suggerendo quindi alla security company di riconsiderare la seconda opzione fornita recentemente dal team di sviluppo di Chrome.
Ciò è dovuto al fatto che Symantec sembra voler identificare degli audit di terze parti come soluzione ai molti problemi aperti , soluzione che evidentemente non ha funzionato a dovere in passato e ha quindi destato leciti dubbi in Google e Mozilla.
Nel dettaglio, la ricetta di Symantec si compone di undici punti sui quali la corporation intenderebbe agire al più presto (la proposta sarà aperta a suggerimenti fino all’8 maggio), che sarebbero:
1. Commissionare un audit di terze parti su tutti i certificati EV rilasciati da Symantec in passato in modo da verificare validità e integrità dei certificati, oltre ovviamente alle procedure di rilascio messe in atto da Symantec (entro il 31 agosto 2017);
2. Commissionare un secondo audit di terze parti con l’obiettivo di attestare quale sia la lista di certificati attivi rilasciati da ex-partner come CrossCert, Certisign, Certsuperior e Certisur, e rivalidare/integrare ove necessario le azioni intraprese da Symantec in merito a tali certificati (entro il 31 agosto 2017);
3. Per fornire maggiore trasparenza, condurre un ulteriore audit WebTrust riguardo gli ultimi sei mesi (1 dicembre 2016 – 31 maggio 2017), per poi spostarsi su una cadenza trimestrale (anziché annuale) per gli audit Webtrust; almeno fino a quando la corporation non supererà quattro verifiche di fila;
4. Aggiornare la comunità circa il progresso degli audit affidati a terze parti ed il processo di miglioramento continuo iniziato dall’azienda tramite un aggiornamento trimestrale ;
5. Lavorare con il CA/Browser forum per definire nuove linee guida per le eccezioni rispetto alla baseline ;
6. Sforzarsi per meglio bilanciare i tempi e il livello di dettaglio tecnico delle risposte fornite dall’azienda in relazione alle richieste della comunità dei browser e il tempo necessario per svolgere le investigazioni necessarie a fornire tali informazioni;
7. Dal 31 agosto 2017, Symantec offrirà anche certificati a scadenza “breve”, ossia di soli 3 mesi , dei quali potrebbero beneficiare i clienti più piccoli;
8. Allo scadere del nono mese, rivalidare tutti i certificati con validità superiore ai 9 mesi già in possesso dei clienti ;
9. Per rafforzare la fiducia nei propri processi di risk management, commissionare un risk assessment per i processi e i sistemi del ramo CA Operations, il che includerà un inventario di tali sistemi e una revisione dei controlli di sicurezza attualmente operativi sui servizi PKI (e quindi anche i certificati SSL/TLS) e attività di penetration test addizionali a quelle già normalmente eseguite (entro il 31 ottobre 2017);
10. Aggiornare il Root Program aziendale per meglio compartimentalizzare i differenti casi di utilizzo di certificati , creando delle root o delle CA dedicate per “segmentare” determinati clienti dall’utilizzo di gerarchie pubbliche per i propri ecosistemi non aperti, come POS e ATM collegati agli stessi server;
11. Fare uso del proprio sistema Global Intelligence Network per identificare quei siti Web cifrati che abbiano un alto risk rate , in modo da categorizzarli opportunamente nel caso in cui siano associati ad un certificato Symantec;
Come detto, l’incompletezza della risposta di Symantec ha destato non poche preoccupazioni sia in casa Google che Mozilla, tanto che Ryan Sleevi, capo del team di sviluppo per la sicurezza di Chrome, ha avviato una serie di incontri nelle ultime due settimane con il top management di Symantec per individuare una seconda soluzione , alternativa a quella proposta un mese fa, di fatto suggerendo di delegare le operazioni a un’altra CA il che, sebbene avrebbe “relegato” Symantec ad uno stato più di reseller che di vendor, le avrebbe però permesso di risolvere facilmente il problema mantenendo comunque la propria base di clienti e levandosi la responsabilità della gestione delle operazioni future.
Secondo Markham, l’unica alternativa per Symantec a questa “uscita non uscita” sarebbe una strategia in tre punti : ripulire e documentare l’estensione della propria PKI pubblica, tagliando i rami che non sono risultati compliant con i requisiti del forum CA/Browser; accettare che Mozilla restringa la validità dei nuovi certificati rilasciati da Symantec a 13 mesi; accettare che nel tempo Mozilla riduca a 13 mesi anche la validità dei certificati già emessi da Symantec.
L’unica voce sollevatasi a favore di Symantec , per mezzo del proprio CEO Wang Gaohua, è stata quella di WoSign, autorità eliminata dalla lista di partner Mozilla per alcune irregolarità nei certificati emessi e ora sulla via della redenzione, secondo cui la proposta avanzata da Symantec sarebbe buona, specialmente considerando l’enorme base di clienti (e loro dimensioni) di cui dispone Symantec, la quale deve necessariamente cercare di limitare l’impatto delle azioni di remediation sul business dei propri clienti.
Niccolò Castoldi