Ben 23.000 certificati di sicurezza HTTPS sono stati compromessi, dopo che il CEO di Trustico ha inviato le chiavi private dei propri clienti ad un partner tramite e-mail. la società, pertanto, è stata costretta a procedere alla revoca. Ed è subito bufera.
Chiavi HTTPS compromesse: sicurezza a rischio
Il tema della sicurezza sta assumendo via via connotati sempre più allarmenti, i quali descrivono decisamente un quadro troppo poco rassicurante per noi utenti e per tutti gli internauti della rete.
In ultima analisi, è balzato agli oneri della cronaca la vicenda legata a DigiCert, una società che si occupa del rilascio di certificati HTTPS, caduta al centro delle critiche dopo aver inviato e-mail al cliente Trustico per avvisarlo che i certificati acquistati erano compromessi.
La società riferisce che detti certificati verranno revocati, ma la procedura non sarà del tutto indolore. Infatti, i portali con protezione HTTPS saranno costretti ad abbandonare le misure di sicurezza in attesa di ricevere certificati nuovi e validati. Come se non bastasse, a poche ore dalla divulgazione del comunicato, il sito ufficiale di Trustico è andato down a seguito della divulgazione di una vulnerabilità resa pubblica su Twitter.
La compagnia ha chiesto a DigiCert di revocare 50.000 certificati di sicurezza già rilasciati, visto che i browser li avrebbero segnalati come non sicuri. Alcuni esperti di sicurezza sostengono però che la manovra intrapresa da Trustico sia puramente strategica, e riconducibile al fatto che quest’ultima avrebbe deciso di abbandonare Symantec (parte integrante di DigiCert) a favore di Comodo.
DigiCert si è rifiutata di effettuare l’operazione sulla base delle stesse norme regolamentate dall’Industria tecnica. Infatti, è solo il cliente a decidere se revocare o meno il certificato, a meno che non sussistano prove documentate di reali compromissioni.
La vicenda ha decisamente dell’assurdo. In primo luogo, di fatto, lascia sgomenti il fatto che siano state compromesse le chiavi di sicurezza private degli clienti. In secondo luogo, è importante notare il fatto che delle stesse chiavi non se ne dovrebbe avere traccia sui sistemi. Queste, infatti, dovrebbero essere rimesse esclusivamente nelle mani degli utenti.
Siamo abbastanza sicuri che avremo modo di ritornare presto sull’argomento.