Symantec e la mini-apocalisse dei certificati TLS insicuri

Presto i browser più popolari disconosceranno una gran quantità di certificati di sicurezza emessi negli ultimi anni dalla corporation americana, con conseguenze importanti sull’intero mercato e sull’esperienza di navigazione degli utenti.

Quelle in arrivo sono settimane particolarmente calde sul fronte della sicurezza telematica, con i browser Web più utilizzati che hanno già messo in conto di eliminare definitivamente il supporto a decine di migliaia di certificati di sicurezza (TLS) emessi da Symantec. Certificati che non hanno rispettato politiche di emissione adeguate e vanno quindi considerati insicuri.

All’origine del problema c’è la scoperta, da parte dei programmatori di Mozilla e Google, del comportamento un po’ troppo sbarazzino della security enterprise americana: in passato Symantec ha garantito a diverse organizzazioni sussidiarie la capacità di emettere certificati TLS senza un controllo stringente sul processo, una pratica irrispettosa degli standard dell’industria che si è interrotta solo a partire dal primo giugno 2016.

Tutti i certificate emessi dalle Autorità Certificative (CA) riconducibili a Symantec (e da Symantec CA stessa) fino a quella data vanno quindi considerati insicuri, hanno detto i ricercatori, evidenziando un problema che coinvolgeva e coinvolge circa 30.000 diversi certificati TLS. Symantec ha risolto il “suo” problema lavandosene le mani e vendendo il proprio business da CA a DigiCert, ma a fare ancora i conti con gli effetti della pratica scorretta dell’azienda sono ora i produttori di browser, gli amministratori dei siti Web e gli utenti finali.

Nel corso delle prossime settimane, i suddetti utenti si troveranno quindi a sperimentare un gran numero di messaggi di errore dovuti ai certificati classificati come insicuri dai browser Web, una questione che si risolve solo con il passaggio ai nuovi certificati sicuri (offerti da DigiCert a titolo gratuito) e l’aggiornamento dei software di navigazione.

Per quanto riguarda questi ultimi, il supporto ai vecchi certificati Symantec è già stato introdotto nelle versioni alpha giornaliere di Firefox e Google: la versione Nightly di Firefox 63 include già la novità così come Chrome 70 Canary. Per la fine di ottobre, tutti i principali browser Web disconosceranno Symantec come una CA ancora degna di fiducia.