Symantec, che in precedenza aveva acquisito VeriSign, pezzo da novanta per quanto riguarda le attività di certificazione dell’identità online, è nell’occhio del ciclone.
Secondo le ultime statistiche di Netcraft, Symantec è responsabile dell’emissione di un terzo dei certificati SSL complessivamente utilizzati a livello mondiale sui siti web.
Eppure, i responsabili di Google hanno dichiarato di aver perso fiducia nel ruolo di certification authority ricoperto da Symantec e l’azienda di Mountain View starebbe seriamente valutando di dichiarare inaffidabili i certificati digitali da essa firmati.
Google potrebbe non riconoscere più neppure la validità dei certificati EV-SSL (extended validation) ovvero quelli che offrono una maggiore sicurezza sull’identità del sito web visitato (la barra degli indirizzi del browser si colora di verde nella parte iniziale e indica esplicitamente il nome del detentore del certificato).
Per approfondire, suggeriamo la lettura dell’articolo Sito sicuro su Chrome e Firefox, che cosa significa.
Google motiva la sua decisione draconiana sulla base di ripetuti incidenti che hanno coinvolto Symantec: la società, infatti, non avrebbe verificato in modo approfondito l’identità dei richiedenti alcuni certificati digitali.
Se Google dovesse “passare ai fatti”, presto Chrome potrebbe non riconoscere come validi i certificati SSL/TLS di Symantec e indicare come Non sicuri i siti web che ne fanno uso.
Symantec ha bollato il comportamento di Google come un “atto irresponsabile” aggiungendo che “si augura che le informazioni apparse online non siano state diffuse per ingenerare incertezza e dubbi rispetto ai certificati digitali emessi dall’azienda“.