Chrome 70 indicherà centinaia di siti come 'Non sicuri': ecco perché

Chrome 70 indicherà centinaia di siti come 'Non sicuri': ecco perché

Chrome 70 considererà a rischio sicurezza tutti i siti web che utilizzano i certificati HTTPS rilasciati da Symantec prima del Giugno 2016

di pubblicata il , alle 08:31 nel canale Web
ChromeGoogle
 

Con la prossima release di Chrome Google intende rafforzare le protezioni di sicurezza, anche al costo di deteriorare la compatibilità con alcuni dei siti più visitati al mondo. Secondo quanto riporta il ricercatore di sicurezza Scott Helme ci sono tantissimi siti che ancora oggi utilizzano i certificati HTTPS rilasciati da Symantec prima del Giugno 2016, gli stessi che Chrome 70 non considererà più come "trusted", affidabili. Sono centinaia i siti che utilizzano ancora oggi i certificati Symantec, e solo fra i più popolari fra quelli indicati dal ricercatore nella sua indagine.

Chrome 70 dovrebbe essere rilasciato, secondo i piani di Google, già il prossimo 16 Ottobre, e alcuni dei siti indicati nello studio sono abbastanza sensibili, come quelli dei servizi governativi indiani. Fra i siti presenti nelle liste di Helme ci sono però anche dei falsi positivi: Ferrari e Solidworks, ad esempio, hanno aggiornato di recente i certificati e quindi non dovrebbero subire le problematiche con il passaggio alla nuova versione di Chrome. Ovviamente Chrome 70 non bloccherà del tutto i siti, ma invierà agli utenti degli avvisi che cercheranno di allontanarli dalle pagine coinvolte.

L'obiettivo è di fare da deterrente proprio come avviene con siti pericolosi che diffondono malware, indicando come pericolosi anche i siti che utilizzano i certificati di Symantec. È probabile, quindi, che nei prossimi giorni vedrete un considerevole aumento degli avvisi durante le vostre sessioni di navigazione web. Google aveva comunque dato un grande preavviso: lo scorso anno infatti aveva detto che avrebbe smesso di considerare affidabili i certificati di Symantec, dopo aver scoperto che la compagnia aveva adottato pratiche improprie per la gestione delle credenziali degli utenti.

Già a partire dalla scorsa primavera la compagnia aveva considerato come non affidabili alcuni dei certificati indicati nel primo comunicato, e con Chrome 70 tutti i certificati Symantec rilasciati prima del mese di Giugno 2016 verranno bollati come non sicuri. E questo potrebbe non essere tutto: i gestori di siti web che non acquisteranno certificati HTTPS aggiornati, infatti, potrebbero subire ulteriori provvedimenti da parte di Google, sempre ai fini della sicurezza degli utenti del suo browser web, che è ad oggi il più diffuso al mondo con ampi margini sul secondo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Perseverance10 Ottobre 2018, 10:09 #1
Io non sono informato a sufficienza. Cosa ci incastra la verifica anche del più alto livello https con la sicurezza che il sito non sia dannoso? Non posso io comprarmi un certificato di alto livello e poi diffondere malware a pioggia?

Oppure ho capito male io: xkè i symantec non sono affidabili più? Sono state violate le chiavi di cifratura?

Benvenga il controllo e la sicurezza, xò fatta a questa maniera qua per me è pura discrezionalità, è una caccia alle streghe. La sicurezza non si può basare sulla fiducia o la presunzione che gli altri enti certificatori siano seri. Stando così le cose, avere o non avere https è indifferente.
mak7710 Ottobre 2018, 10:42 #2
Come la vedresti se il tuo comune fornisse la tua carta di identità a uno qualunque che si presenta e dice di essere te?
Gli enti certificatori devono essere seri, altrimenti non servono a nulla.
giangiangian8910 Ottobre 2018, 10:51 #3
Originariamente inviato da: Perseverance
Io non sono informato a sufficienza. Cosa ci incastra la verifica anche del più alto livello https con la sicurezza che il sito non sia dannoso?

Niente, perché https non serve a certificare i contenuti di un sito.
I motivi per cui https è importante sono principalmente due:
- Garantisce che il sito che stai guardando sia davvero quello a cui risponde l'indirizzo. Senza https, se mi collego fisicamente tra te e il server di ebay, posso intercettare le pagine del server di ebay, cambiarle per dirottare i pagamenti verso di me e inviartele, senza che tu te ne accorga. Con https, se i certificati sono robusti, non posso farlo.
- Cripta il traffico tra te e il server. Senza https, posso facilmente sniffarti password, dati sensibili e pagine visitate. Con https, al più posso sapere a che sito ti stai collegando, ma non alla pagina esatta e sicuramente non alle password e ai dati sensibili che invii.

Originariamente inviato da: Perseverance
Oppure ho capito male io: xkè i symantec non sono affidabili più? Sono state violate le chiavi di cifratura?

https://blog.mozilla.org/security/2...s-certificates/ e, più in particolare, https://wiki.mozilla.org/CA:Symantec_Issues .

Originariamente inviato da: Perseverance
Benvenga il controllo e la sicurezza, xò fatta a questa maniera qua per me è pura discrezionalità, è una caccia alle streghe. La sicurezza non si può basare sulla fiducia o la presunzione che gli altri enti certificatori siano seri. Stando così le cose, avere o non avere https è indifferente.

https è un tassello fondamentale per la sicurezza informatica oggi, e non c'è niente di soggettivo nel lavoro degli enti certificatori. Di fatto, il loro lavoro consiste semplicemente nel certificare che quel certificato è solamente in mano a chi gestisce fisicamente la macchina. Il problema dei certificati symantec è tecnologico, non soggettivo. https NON è la panacea a tutti i mali del mondo, ma fa parecchio bene quello per cui è stato creato.
Jack.Mauro10 Ottobre 2018, 10:54 #4
data la lista di siti linkata dall'articolo, che sembra essere aggiornata a prima del 24 settembre 2018, ho provato a caso alcuni siti (boh, una decina) e di questi uno solo (www.nital.it) utilizza un certificato rilasciato da symantec, ma rilasciato dopo giugno 2016.

Non sono quindi sicuro che qualche utente si accorgerà della modifica, almeno in italia....
DanieleG10 Ottobre 2018, 11:17 #5
Strano che symantec abbia combinato un casino

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^