Certificati digitali riferiti a vari servizi di Google sono stati recentemente approvati ed emessi da un’autorità di certificazione che fa capo ad una realtà cinese (CNNIC).
Se ne sono accorti, nelle scorse ore, i tecnici della società di Mountain View che hanno immediatamente dato disposizione per la revoca dei certificati in questione, emessi senza l’autorizzazione di Google.
I rischi per gli utenti non sono di poco conto: certificati digitali all’apparenza legittimi e collegati a “proprietà” di Google possono essere utilizzati dai malintenzionati per allestire false versioni di Gmail e convincere i malcapitati ad inserire credenziali d’accesso e dati personali. Possono essere utilizzati, quindi, per sferrare attacchi “man-in-the-middle” (MITM) ed intercettare informazioni sensibili.
Nello spiegare la situazione, Google ha fatto presente che gli utenti di Chrome non debbono fare assolutamente nulla.
Google, limitatamente al suo browser, utilizza il sistema dei CRLSet che permette di revocare rapidamente certificati fasulli od emessi senza l’autorizzazione degli aventi titolo. Chrome, quindi, è già sin d’ora capace di riconoscere ed etichettare come pericolosi i certificati digitali in questione.
Anche Mozilla ha immediatamente reagito all’incidente invitando i suoi utenti a scaricare ed installare la versione più aggiornata di Firefox. La fondazione poi ha spiegato che con il rilascio di Firefox 37 adopererà un meccanismo di revoca automatica dei certificati che appare molto simile a quello implementato da Google: OneCRL.
Per maggiori informazioni sui certificati digitali, suggeriamo di fare riferimento agli articoli Certificato di protezione del sito web: cosa fare quando c’è un problema e Come riconoscere email phishing.