E' battaglia tra Google e Symantec sull'emissione dei certificati di sicurezza

E' battaglia tra Google e Symantec sull'emissione dei certificati di sicurezza

Google accusa Symantec di aver emesso 30 mila certificati non adeguati, Symantec replica ridimensionando le accuse e si dice aperta al confronto per trovare una soluzione

di pubblicata il , alle 14:31 nel canale Apple
GoogleSymantec
 

Google e Symantec sono impegnate in una piccola guerra sulle rispettive pratiche di sicurezza, che vede loro malgrado gli utenti della rete impigliati nel mezzo della scaramuccia. Google, in particolare, ha accusato Symantec di aver emesso impropriamente certificati di sicurezza per decine di migliaia di siti web e ha deciso di abbassare la durata e il grado di trust che Chrome applicherà ai certifcati emessi da Symantec.

E' grazie ai certificati e alle Certificate Authority - come Symantec - che è possibile operare le connessioni HTTPS ed in generale le connessioni crittografate. Le Autorithy verificano l'identità del proprietario del sito web, ed emettono un certificato a garanzia di ciò. Si può pensare alla Certificate Authority come ad un ufficio passaporti e al certificato come ad un passaporto. In mancanza della garanzia sull'identità del proprietario del sito web, gli utenti non possono avere la certezza che dall'altra parte della connessione HTTPS vi sia realmente, ad esempio, il sito della propria banca.

Secondo Google, Symantec avrebbe emesso almeno 30 mila certificati senza verificare adeguatamente l'identità delle controparti. Si tratta di un'accusa piuttosto grave che la stessa Symantec bolla come "irresponsabile, esagerata e fuorviante". La società afferma che dei 30 mila casi in realtà solamente 127 sono stati riconosciuti essere emessi in maniera impropria, senza comunque causare danno ai consumatori. Secondo Symantec, inoltre, Google avrebbe intenzionalmente chiuso gli occhi dinnanzi a situazioni simili con altre realtà, per prendere di mira specificatamente Symantec. Una azione che suona come una sorta di vendetta per una vicenda che risale al 2015, quando Google scoprì che Symantec aveva emesso dei certificati non adeguati per Google stesso per il software di Opera.

Google ha pertanto previsto per Chrome un piano di azione graduale per ridurre la durata e il livello di trust dei certificati emessi da Symantec che verrà applicato come segue:

Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days
)

Symantec intanto si è dichiarata "aperta ad affrontare il problema con Google, nel tentativo di risolvere la situazione nei migliori interessi dei clienti e partner" di entrambe le società.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Yokoshima29 Marzo 2017, 15:24 #1
Vendetta o no, hanno sicuramente il dente avvelenato e cercheranno il pelo nell'uovo.
papaiti29 Marzo 2017, 18:51 #2
Ma così facendo un certificato valido e non scaduto risulterà su chrome scaduto anzitempo e l'utente penserà di trovarsi su un sito contraffatto o non funzionante e per nulla professionale! Così si costringerà il proprietario del sito o a rinnovare il certificato anzitempo (e son soldi) o a cambiare erogatore. Ma che diavolo.
In effetti però è molto facile ottenere un certificato.. altro che controlli, altro che "passaporto"
GabrySP29 Marzo 2017, 21:27 #3
Symantec e sicurezza è un bel ossimoro
gianluca.f30 Marzo 2017, 08:16 #4
Originariamente inviato da: GabrySP
Symantec e sicurezza è un bel ossimoro


Ho pensato la stessa cosa e se sono arrivati a questo è evidente che non del tutto infondata la nostra diffidenza.
An.tani30 Marzo 2017, 15:01 #5
Symantec API Flaws reportedly let attackers steal Private SSL Keys

http://thehackernews.com/2017/03/sy...rtificates.html

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^