Un certificato SSL fraudolento per travestirsi da Google

I certificati digitali, come noto, vengono utilizzati per attestare l’identità di un sito web (così come di un soggetto, di una società, di un sistema e così via). Sul web, l’uso più comune dei certificati digitali è per l’accesso ai siti attraverso il protocollo HTTPS (ossia HTTP con l’aggiunta del protocollo crittografico SSL). Ricorrendo all’impiego dei certificati digitali, il browser web può accertarsi che il server a cui si è connessi sia autentico ossia che corrisponda effettivamente a quello che dichiara di essere. Se il certificato è stato firmato da un’autorità di certificazione riconosciuta, il browser provvede ad utilizzare la chiave pubblica indicata nel documento digitale per scambiare dati in modo sicuro, senza la possibilità che vengano in qualche modo essere intercettati.

Nelle scorse ore è emerso che la certification authority (CA) olandese DigiNotar avrebbe emesso un certificato digitale per google.com e tutti i sottodomini ad un’organizzazione non avente titolo per richiederlo.
Al momento non si conoscono i dettagli circa l’accaduto ovvero se DigiNotar abbia subito o meno una vera e propria aggressione che ha portato, già lo scorso 10 luglio, all’emissione del certificato fraudolento.

Il certificato rilasciato dalla CA olandese potrebbe essere sfruttato, da parte dei malintenzionati che lo hanno ottenuto, per condurre attacchi phishing persuadendo l’utente di trovarsi in uno dei siti di proprietà di Google. In particolare, il “documento digitale” potrebbe essere adoperato per sferrare attacchi man-in-the-middle nei confronti degli utenti di GMail con la possibilità, quindi, di sottrarre informazioni personali e porre in essere truffe di vario genere.

DigiNotar ha comunicato di aver revocato il certificato “incriminato”: si tratta di una mossa che già fornisce un qualche livello di protezione agli utenti sebbene molte applicazioni non abbiano cura di verificare periodicamente la lista delle revoche.

A testimonianza della serietà del problema, Google, Microsoft e Mozilla sono intervenute comunicando di essere in procinto di rilasciare degli aggiornamenti risolutivi per i rispettivi browser web. Ovviamente, come viene più volte rimarcato, il problema non risiede in nessun prodotto software ma, per evitare qualunque rischio, si è preferito agire tempestivamente forzando la disabilitazione del certificato.

Uno dei responsabili per la sicurezza di Microsoft, Ryan M. Hurst, ha addirittura suggerito di eliminare DigiNotar dalla lista dei certificati utilizzati dal browser. Si tratta di un intervento draconiano che, però, si spiega, consente di mettersi al riparo da qualunque pericolo. “E’ ciò che è necessario fare“, scrive Hurst in questo post su Facebook, “sintanto che non si stabilità se la root è stata compromessa, qualche società satellite o le procedure di verifica” usate da DigiNotar.

Mozilla ha comunicato di aver messo in distribuzione un aggiornamento per Firefox e Thunderbird (ved. questa pagina), Microsoft sta agendo sulla “Certificate Trust List” mentre Google dovrebbe risolvere il problema con l’ultimo aggiornamento di Chrome.