L’agenzia nazionale francese per la sicurezza dei sistemi informatici (ANSSI) ha di fatto creato, in modo non autorizzato, certificati digitali facenti riferimento a diversi domini di proprietà di Google. La notizia arriva dagli stessi tecnici di Google che hanno scoperto l’esistenza dei certificati digitali la cui creazione non è mai stata né richiesta né permessa da parte dei vertici dell’azienda.
La generazione dei certificati sarebbe stata materialmente eseguita da un’autorità intermedia (CA) facente a sua volta riferimento alla stessa ANSSI francese.
Sul web, l’uso più comune dei certificati digitali è per l’accesso ai siti attraverso il protocollo HTTPS (ossia HTTP con l’aggiunta del protocollo crittografico SSL). Ricorrendo all’impiego dei certificati digitali, il browser web può accertarsi che il server a cui si è connessi sia autentico ossia che corrisponda effettivamente a quello che dichiara di essere. Se il certificato è stato firmato da un’autorità di certificazione riconosciuta, il browser provvede ad utilizzare la chiave pubblica indicata nel documento digitale per scambiare dati in modo sicuro, senza la possibilità che vengano in qualche modo intercettati.
Quanto accaduto Oltralpe costituisce un grave problema perché chiunque fosse in possesso dei certificati avrebbe potuto creare un qualunque sito web facendo in modo che apparisse di proprietà di Google. Stando all’analisi di Mountain View, i certificati non autorizzati sarebbero stati usati in un dispositivo commerciale, all’interno di una rete privata, con lo scopo di esaminare il traffico crittografato in transito.
Da parte sua l’ANSSI si è scusata parlando di un “errore umano” verificatosi durante la messa in sicurezza dell’intera infrastruttura IT dell’ente. I certificati “fasulli” sono stati ritirati e sia Google che Microsoft hanno comunicato di averne forzato la revoca all’interno dei rispettivi prodotti.
Torna quindi in auge il problema dell’aggiornamento delle liste di revoca e della necessità di una costante attività di collaborazione e comunicazione tra i produttori di browser web e le autorità di certificazione. Tutti i principali browser web fanno riferimento ai servizi mantenuti dalle autorità di certificazione per verificare se un determinato certificato sia stato revocato ossia dichiarato non più valido, per un qualuque motivo.
Google, sulla base di quanto oggi accaduto, punta tutto sul progetto Certificate Transparency, un framework pubblicamente accessibile che permetterebbe di stabilire rapidamente quali certificati sono stati erroneamente emessi e quali sono stati generati da parte di malintenzionati sfruttando, ad esempio, attacchi nei confronti delle CA.
Stando a quanto riportato da Microsoft, l’incidente verificatosi in terra francese potrebbe non aver riguardato solamente Google ma anche altre aziende.
Per chi volesse approfondire la tematica, suggeriamo la lettura dei seguenti articoli: I certificati digitali e gli attacchi subiti dalle autorità di certificazione: l’accaduto e le difese da porre in campo; Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti).