Anche se spesso sono le vulnerabilità del protocollo TLS/SSL a guadagnare la ribalta , il fondamentale compito di verificare le credenziali dei proprietari dei siti web protetti dal lucchetto verde rimane appannaggio delle Certificate Authority (CA). A controllare i controllori sono i produttori dei browser più famosi, che mantengono un database di CA “fidate” che costituiscono la root of trust per la quasi totalità dei certificati TLS in uso sul web. Mozilla ha rilasciato i risultati di una lunga investigazione sulle procedure di sicurezza della CA cinese WoSign , trovandole inadeguate e fraudolente, e proponendo la rimozione di WoSign dal database delle CA incluso in Firefox .
L’elenco dei comportamenti questionabili di WoSign è lungo e documentato , con alcune istanze particolarmente clamorose. Nel mese di agosto, WoSign ha rilasciato un certificato valido per github.com ad un amministratore di sistema della University of Central Florida, dopo che questi aveva già ricevuto un altro certificato valido per il sito principale dell’università invece che per il solo sottodominio di sua competenza .
WoSign ha anche consapevolmente aggirato il ban a certificati firmati con l’algoritmo SHA-1, ormai notoriamente insicuro e in fase di deprecazione da parte di tutti i browser, che considerano come invalidi certificati SHA-1 . Esiste un processo di verifica secondario con cui i browser possono consentire certificati SHA-1 rilasciati prima del 1° gennaio 2016 . WoSign ha però barato, retrodatando alcuni nuovi certificati SHA-1 in modo da non oltrepassare la scadenza, e senza nemmeno abbondare in sofisticazione: tutti i certificati risultavano rilasciati in un periodo di 24 ore durante la domenica del 20 dicembre 2015, in barba a tutte le statistiche sulla frequenza tipica dei rilasci .
Infine WoSign ha completato l’acquisizione di un altra CA, la israeliana StartCom , senza divulgare il cambio di proprietà, collocandosi non solo “in violazione della policy Mozilla per la manutenzione dei certificati delle CA”, ma anche negando l’affare ripetutamente.
Ora Mozilla “non ha più fiducia nella capacità di WoSign e StartCom di svolgere in buona fede e in modo competente le funzioni di CA” e pertanto vuole rimuovere WoSign dal database di quelle fidate e considerare non validi tutti i nuovi certificati. Ad ogni modo quella di Mozilla è una decisione le cui modalità precise sono in fase di consultazione comunitaria , soprattutto sotto due aspetti: la tempistica da adottare e se consentire a WoSign di chiedere la riammissione dopo la rigenerazione dei root certificate .
Al momento Google non ha commentato sulle proprie intenzioni in risposta all’investigazione di Mozilla. Nessuna risposta concreta nemmeno da WoSign, fatta eccezione per il rilascio di un comunicato ufficiale sull’acquisizione di StartCom, completata il 19 settembre.
Stefano De Carlo