Google fa pressione su Symantec per i certificati digitali di sicurezza

chrome

Google ha annunciato un nuovo piano di accettazione dei certificati digitali di sicurezza dei siti web per Chrome, il browser più diffuso al mondo. A partire da Chrome 66, il cui rilascio è previsto per aprile del prossimo anno, Google non riconoscerà la validità “dei certificati rilasciati da Symantec prima del 1° giugno 2016”, hanno scritto tre membri del team di sicurezza del browser sul blog aziendale. “Se siete operatori di un sito con un certificato rilasciato da una CA (autorità di certificazione) di Symantec prima del 1° giugno 2016, prima del rilascio di Chrome 66 dovrete sostituire il certificato esistente con un nuovo certificato da qualsiasi Autorità riconosciuta da Chrome”.

Una versione successiva di Chrome, che dovrebbe debuttare tra poco più di un anno, rifiuterà ogni certificato firmato Symantec, a prescindere dalla data in cui è stato rilasciato. Se Google non accetta il certificato di sicurezza di un sito vengono visualizzati messaggi, più o meno espliciti, che informano gli utenti che la connessione con quel sito web non è sicura.

Durante il processo, che durerà circa un anno, Google rimuoverà gradualmente la fiducia a qualsiasi certificato rilasciato da Symantec, inclusi quelli rilasciate dalle autorità di certificazione che l’azienda ha rilevato negli anni scorsi, come Equifax, GeoTrust e, naturalmente, VeriSign.

Ecco il calendario di Google:

  • 22-28 ottobre 2017: Google rilascerà Chrome 62, che aggiunge una nuova funzionalità sotto la voce del menu “Strumenti per gli sviluppatori” che mostra i certificati interessati.
  • dicembre 2017: DigiCert, che intende acquistare l’attività di certificazione di Symantec per quasi 1 miliardo di dollari, dovrebbe avere allestito una nuova “Managed Partner Infrastructure”. A partire da questo mese DigiCert dovrebbe essere in grado di rilasciare certificati che sostituiscono quelli non accettati da Chrome nel 2018.
  • 15-21 aprile 2018: tutti i certificati rilasciati da Symantec prima del 1° giugno 2016 saranno riconosciuti come non attendibili da Chrome 66, che sarà rilasciato durante la settimana.
  • 21-27 ottobre 2018: tutti i certificati che si collegano all’infrastruttura di Symantec e rilasciati prima di dicembre 2017 saranno considerati non attendibili da Chrome 70, il cui rilascio è previsto in questa settimana.

Google vs Symantec

La controversia tra Google e Symantec, che si sta concretizzando attraverso Chrome, ha avuto origine qualche anno fa.

In primo luogo nel 2015, e poi in modo più insistente all’inizio del 2017, Google e altri sviluppatori di browser, in particolare Mozilla, hanno affermato che Symantec e i suoi partner emettono certificati in modo improprio, violando le regole del CA/Browser Forum, il gruppo che definisce gli standard e che include creatori di browser e autorità di certificazione.

Google ha dichiarato che i problemi di Symantec erano endemici e che i ripetuti incidenti erano la prova che la società non poteva rilasciare i certificati che sono, in pratica, la base della fiducia sul web. I certificati dimostrano, per esempio, che un sito web è ciò che sostiene di essere, e non un paravento per truffare gli utenti sottraendo soldi, credenziali o dati.

Che Google abbia potuto forzare Symantec a conformarsi alle sue richieste, e poi all’inizio di agosto a vendere la sua attività di certificazione a DigiCert – ritirandosi totalmente dal settore – dimostra la potenza del gigante delle ricerche.

In questo caso, la potenza di Google proviene dalla dominanza di Chrome. Secondo le stime di Net Applications nel mese di agosto Chrome ha raggiunto una quota utente di quasi il 60% a livello globale. La leadership di Chrome sul mercato dei browser è un fenomeno relativamente recente: Google ha sorpassato Microsoft come creatore di browser solo nel maggio 2016.

Se Google ha deciso di non accettare tutti i certificati Symantec, gli operatori di siti non avranno altra scelta che sostituire i certificati. Se non lo fanno, rischieranno di perdere la netta maggioranza dei potenziali clienti, che potrebbero rivolgersi a siti web dei rivali protetti da altri CA. Molte aziende, tra cui le società finanziarie, dovrebbero affrontare un uragano di reclami da parte dei clienti se chiedessero di abbandonare Chrome e scegliere un altro browser.

Anche Mozilla ha sollevato reclami simili a Google, ma il produttore di Firefox non è abbastanza potente per fare pressione su Symantec e costringerla a cambiare radicalmente le proprie pratiche di certificazione. Nel mese di agosto, sempre secondo le stime di Net Applications, Firefox ha ottenuto una quota globale di utenti di solo il 12%, un quinto di Chrome.

Cosa succede adesso?

Secondo il calendario di Google le prime modifiche nell’accettazione dei certificati avranno effetto la prossima primavera. Per il momento non ci sono ancora indicazioni chiare da parte di Symantec o del suo successore, DigiCert, sul processo di sostituzione dei certificati.

Le aziende avranno molto lavoro da fare”, ha dichiarato David Anthony Mahdi, ricercatore di Gartner ed esperto di certificati digitali, sottolineando la mancanza di un piano sia da parte di Symantec che di DigiCert.

Mahdi consiglia agli utenti delle società di certificazione di Symantec di prepararsi come se dovessero rinnovare i certificati dei loro siti. “Ci sono molte opzioni da valutare“, ha spiegato l’esperto di Gartner. “Se attualmente siete clienti di Symantec, chiedete come intende muoversi e che tipo di incentivo vi offre per farvi rimanere”.

Ma ci sono anche molti concorrenti, come Entrust, GlobalSign e Comodo”, ha aggiunto Mahdi. “I certificati sono un mercato abbastanza commodizzato: di solito si sceglie un fornitore basandosi su prezzo offerto, brand e supporto. Consultate almeno tre fornitori, proprio come fareste nel caso di un prossimo rinnovo”.

 

WHITEPAPER GRATUITI

  • Computerworld Speciale Industria 4.0
    white paper

    Computerworld Italia – Speciale Industria 4.0

    Un PDF da scaricare per leggerlo comodamente su pc o tablet e avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti sulla trasformazione in atto nel settore manifatturiero, da più parti definita "quarta rivoluzione industriale".
  • white paper

    Computerworld Italia – Speciale GDPR

    Un PDF da sfogliare online o scaricare per leggerlo comodamente su pc o tablet, per avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti su come le aziende devono affrontare l'arrivo del GDPR.
  • white paper

    Computerworld Italia – Speciale Data Center

    Un PDF da sfogliare o scaricare su pc o tablet per avere sotto mano le notizie, le analisi e gli approfondimenti sulle principali tendenze dei Data Center: integrazione con il Cloud, approccio software-defined, ottimizzazione delle prestazioni energetiche e molto altro