Dell e il certificato root che solleva punti interrogativi

Alcuni utenti che hanno acquistato sistemi Dell come i notebook Inspiron serie 5000 e gli XPS 15, hanno rilevato la presenza di certificati digitali apparentemente firmati da Dell (da un’entità denominata eDellRoot).
Tali certificati root risulterebbero già preinstallati in Windows e figurerebbero nella lista accessibile digitando certmgr.msc nella finestra Esegui richiamabile con la pressione della combinazione di tasti Windows+R.

Vi ricordate l'”affaire Superfish” che investì Lenovo all’inizio dell’anno (Lenovo assicura: basta adware e programmi inutili)?
Per il momento siamo ancora lontani dalle proporzioni che assunse il problema in casa Lenovo ma diversi esperti hanno già richiesto l’intervento di Dell.

I certificati digitali eDellRoot precaricati su alcuni sistemi Dell, infatti, utilizzano tutti la medesima chiave privata. Ciò significa che qualunque individuo può estrarre tale chiave privata ed utilizzarla per firmare digitalmente qualunque certificato utilizzato sul web a garanzia di connessioni HTTPS.

L’esperto di sicurezza Kenn White ha, ad esempio, allestito questo sito di test che, visitato dalle macchine Inspiron serie 5000 e XPS 15, apparirebbe assolutamente legittimo.
Internet Explorer, Edge e Chrome, non visualizzerebbero alcun messaggio d’allerta e, in forza della presenza del certificato root eDellRoot, il sito apparirebbe assolutamente legittimo.
L’unico a segnalare un potenziale problema è Firefox che spiega come il certificato non possa essere considerato affidabile.

Per il momento Dell ha preso in carico le segnalazioni ed ha dichiarato che il suo team è già al lavoro per offrire una riscontro sul problema.

Perché Dell abbia deciso di includere su alcuni suoi sistemi il certificato root in questione è ancora un punto interrogativo.

Per maggiori informazioni sui certificati digitali, suggeriamo di fare riferimento all’articolo Certificato di protezione del sito web: cosa fare quando c’è un problema.

Aggiornamento: Dell ha immediatamente voluto rispondere alle contestazioni spiegando che il certificato in questione serviva all’azienda per verificare alcuni dati identificativi relativi ai prodotti immessi sul mercato. “Nessun dato personale dell’utente veniva comunque raccolto“.

Dell ha poi pubblicato uno strumento software che permette di rimuovere definitivamente il certificato (operazione che può comunque essere effettuata manualmente da ciascun utente ricorrendo alla finestra certmgr.msc).