La fondazione statunitense ha deciso di mettere al bando DarkMatter dalle Autorità a cui è riconosciuta la capacità di emettere certificati digitali. Gli utenti rischiano la compromissione della sicurezza del browser Firefox e non solo.
DarkMatter, società di sicurezza con base negli Emirati Arabi Uniti (UAE), non verrà riconosciuta da Firefox come una Certificate Authority (CA) legittima in grado di emettere e gestire certificati di sicurezza digitali in proprio. Una decisione che Mozilla ha preso in considerazione dei rischi per gli utenti, ma che potrebbe riguardare solo Firefox, Linux, e poco altro se gli altri produttori di browser Web non seguiranno l’esempio della fondazione del Panda Rosso.
Come il clamoroso incidente degli add-on “non supportati” in cui è incappata la stessa Mozilla qualche mese fa ha ampiamente dimostrato, la catena della “fiducia” dei certificati per le comunicazioni cifrate rappresenta uno dei punti cardinali del Web moderno; server e siti Web stanno adottando in massa le comunicazioni su standard HTTPS, anche grazie alla disponibilità di una CA come Let’s Encrypt che permette di ottenere un certificato TLS in via del tutto gratuita.
DarkMatter è già impegnata a gestire certificati intermedi emessi da una società esterna (Quovadis), e vorrebbe diventare una CA pienamente legittimata a emettere i propri certificati root in maniera indipendente. Ma DarkMatter è anche sospettata di essere coinvolta nello spionaggio digitale finanziato dalle monarchie arabe del Golfo, una presunta attività di “hacking statale” che lo status di Autorità Certificativa root permetterebbe di rendere ancora più estesa ed efficiente.
Un certificato root emesso da DarkMatter potrebbe ad esempio essere impiegato in attacchi di tipo Man-in-the-Middle, con domini “certificati” nelle mani delle spie o dei cyber-criminali di stato che garantirebbero capacità a dir poco devastanti come il furto di dati e credenziali di accesso, l’intercettazione del traffico che in teoria sarebbe dovuto essere inaccessibile perché cifrato, e persino la firma digitale di codice malevolo distribuito sotto forma di software “legittimo” per OS Windows.
L’attività di DarkMatter rappresenta insomma un grave rischio (ancorché presunto) per la sicurezza degli utenti, e per questo Mozilla ha ora deciso di non riconoscere la società come una CA root all’interno del database di autorità certificative riconosciute da Firefox. Rigettata anche l’idea della creazione di una nuova società di certificazione ma sempre sotto il controllo del CEO di DarkMatter.
Oltre a disconoscere il tentativo della società araba di diventare una CA root, Mozilla è andata oltre proponendo la revoca dei certificati intermedi di DarkMatter già emessi da Quovadis. Gli utenti di Firefox saranno più al sicuro dallo spionaggio arabo, ma i browser e i sistemi operativi che utilizzano database di certificati esterni (Windows, Chrome, iOS, Android) non saranno influenzati dalla decisione della fondazione americana.