Google scopre alcuni certificati digitali illegittimi
Certificati digitali riferiti a vari servizi di Google sono stati recentemente approvati ed emessi da un'autorità di certificazione che fa capo ad una realtà cinese (CNNIC).
Se ne sono accorti, nelle scorse ore, i tecnici della società di Mountain View che hanno immediatamente dato disposizione per la revoca dei certificati in questione, emessi senza l'autorizzazione di Google.
I rischi per gli utenti non sono di poco conto: certificati digitali all'apparenza legittimi e collegati a "proprietà" di Google possono essere utilizzati dai malintenzionati per allestire false versioni di Gmail e convincere i malcapitati ad inserire credenziali d'accesso e dati personali. Possono essere utilizzati, quindi, per sferrare attacchi "man-in-the-middle" (MITM) ed intercettare informazioni sensibili.
Nello spiegare la situazione, Google ha fatto presente che gli utenti di Chrome non debbono fare assolutamente nulla.
Google, limitatamente al suo browser, utilizza il sistema dei CRLSet che permette di revocare rapidamente certificati fasulli od emessi senza l'autorizzazione degli aventi titolo. Chrome, quindi, è già sin d'ora capace di riconoscere ed etichettare come pericolosi i certificati digitali in questione.
Per maggiori informazioni sui certificati digitali, suggeriamo di fare riferimento agli articoli Certificato di protezione del sito web: cosa fare quando c'è un problema e Come riconoscere email phishing.