Mozilla ha indagato per mesi il comportamento di WoSign, una Certificate Authority (CA) che aveva il compito di verificare le credenziali dei proprietari dei siti web protetti, quelli che appaiono segnalati con il lucchetto verde. A controllare le Authority sono i produttori dei vari browser che allo scopo sfruttano un database di CA “affidabili”, la root of trust per quasi tutti i certificati di sicurezza usati sul web. Mozilla ha segnalato come inadeguato e fraudolento il comportamento dell’authorithy cinese e proposto la rimozione di WoSign dall’archivio delle CA integrato in Firefox.
Seguendo quanto già fatto da Mozilla, anche Apple integrerà modifiche in iOS e macOS al fine di bloccare futuri certificati rilasciati dall’authorithy cinese in questione. Benché – scrive PCWorld – non sembra che le certificazioni di WoSign siano usate per le certificazioni sugli store Apple, un certificato CA intermedio di WoSign è sfruttato per la firma incrociata di due altre CA ritenute affidabili da Apple: StartCom e Comodo e i prodotti della Mela finora hanno ritenuto affidabili i certificati emessi da queste CA intermedie.
Apple spiega che al fine di proteggere gli utenti, non supporterà più certificati sui quali si potrebbero avere dubbi. L’elenco dei comportamenti anomali di WoSign è lungo e documentato. Ha anche aggirato divieti imposti a certificati firmati con l’algoritmo SHA-1, ormai considerato insicuro e in fase di eliminazione da parte di tutti i browser, che considerano come non validi certificati SHA-1. WoSign ha, tra le altre cose, acquisito un’altra CA, l’israeliana Stracco, senza indicare il cambio di proprietà, non solo “in violazione della policy Mozilla per la manutenzione dei certificati delle CA”, ma anche negando l’acquisizione. Mozilla ha spiegato di “non avere più fiducia nella capacità di WoSign e StartCom di svolgere in buona fede e in modo competente le funzioni di CA”, decidendo pertanto di rimuovere WoSign dal database delle CA fidate e considerare non validi tutti i nuovi certificati. Sorprende in tutto questo lo strano silenzio di Google che al momento non ha rilasciato alcun commento.
