C’è un risvolto interessante nella vicenda di un paio di certificati digitali intermedi emessi da Turktrust (autorità di certificazione digitale turca) che ha fatto temere un secondo caso Diginotar, analoga autorità olandese fallita a seguito di un’intrusione. Nel caso Turktrust non è emerso dolo e si è trattato probabilmente di un banale errore senza gravi conseguenze.
Il certificato infatti è stato installato su un firewall capace di controllare il traffico web cifrato. Perché questo sia possibile è necessario che il certificato utilizzato dal firewall per decifrare il traffico sia accettato dal browser. Di solito viene utilizzato un certificato creato ad hoc e distribuito su tutti i client protetti. Nel caso specifico invece è stato utilizzato un certificato intermedio, che eredita tutte le caratteristiche del certificato della Certification Authority emittente.
La cosa da notare è l’inizio del post di Google in proposito:
Nel tardo 24 dicembre Chrome ha rilevato e bloccato un certificato digitale non autorizzato per il dominio *.google.com.
Chrome ha rilevato? Sì: il browser di Google sa verificare per alcuni dominî che il certificato digitale sia emesso da una Certification Authority presente in una whitelist. Quando non è così, Chrome chiama casa e avvisa. Il tutto ovviamente nell’interesse dei naviganti!
Un episodio del genere è allarmante perché evidenzia i limiti dell’attuale sistema delle Certification Authority. Con i certificati intermedi si possono firmare altri certificati per qualsivoglia dominio. Hanno quindi lo stesso potere del certificato della authority relativa e sono ritenuti affidabili dai client che la riconoscono! Questo espone a rischi non trascurabili, come la possibilità di intercettare tutto il traffico cifrato che passi attraverso un sistema equipaggiato con uno di questi certificati. La cessione di questi certificati a terze parti è stata ritenuta (in particolare da Mozilla) assolutamente inaccettabile.
Christopher Soghoian e Sid Stamm hanno già descritto un attacco consistente nella creazione obbligata nei confronti di una autorità di certificazione locale di un certificato da parte di un governo, utilizzabile poi per spionaggio di massa o un programma di sorveglianza particolarmente esteso.
Vero è che dentro ogni browser risiedono centinaia di authority di certificazione e sperare che siano tutte perfette è piuttosto utopistico. Sarebbe bello se in questo 2013 i produttori di browser riuscissero a imporne un loro maggiore e miglior controllo.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
