Nel 2015 le autorità di sicurezza statunitensi hanno puntato il dito contro Certificate authorities (CA) di proprietà di Symantec, accusata di avere abusato del suo potere di rilasciare certificati crittografici. I certificati in questione, lo ricordiamo, vengono utilizzati per garantire la sicurezza su Internet (sono usati, ad esempio, nella cifratura per proteggere e firmare i dati, per proteggere le comunicazioni nei siti di e-commerce e altro ancora). Le autorità di certificazione sono responsabili dell’attestazione dell’identità di utenti, computer e organizzazioni: la CA autentica un’entità e ne convalida l’identità mediante il rilascio in un certificato firmato digitalmente. La CA può inoltre gestire, revocare e rinnovare i certificati, con delicate responsabilità nei confronti di utenti e non solo.
Uno dei punti fondamentali richiesti da Google e altri sviluppatori di browser è che le CA rilascino i certificati di sicurezza solo a persone che hanno il legittimo controllo di un dominio o di una azienda. in più occasioni, spiega Ars Technica, lo scorso anno e all’inizio di questo mese, le CA di Symantec hanno rilasciato 108 credenziali violando le stringenti linee guide in materia.
Nove di questi certificati sono stati rilasciati senza permesso e senza conoscere l’identità del titolare di un dominio; gli altri 99 certificati sono stati rilasciati senza verificare la correttezza delle informazioni incluse nel modello di certificato. In molti di questi è infatti presente la stringa “test”, indicazione che sono stati creati per prove e in quanto tali dovevano essere revocati entro un’ora dal loro rilascio.
Symantec non fa una bella figura e rischia di perdere la possibilità di rilasciare attestazioni come entità, evento che minaccia la reputazione di una società che da sempre fa vanto delle sue soluzioni di sicurezza e protezione contro le minacce. Sul sito di Symantec si legge: “Quando si tratta di proteggere le transazioni online, salvaguardare le informazioni dei clienti e proteggere la reputazione aziendale, il grado di sicurezza dipende dall’autorità di certificazione che viene scelta”; e ancora: “Non tutti i certificati SSL sono uguali perché non tutte le autorità di certificazione sono uguali”. D’ora in poi, farà bene a dimostrarlo sul serio.