Woody Leonhard di InfoWorld scava più a fondo lo scandalo dei certificati SSL di Comodo e trova le violazioni che mettono in discussione l’integrità del processo di certificazione SSL stesso.
Comodo si dipinge come una vittima, nel caso dei certificati SSL hijack (dirottati), affermando di essere stata ingannata dal governo dell’Iran nel rilascio di certificati elettronici i quali sarebbero serviti al regime iraniano per spiare i suoi cittadini.
Questa è soltanto una parte della vicenda che coinvolge la compagnia. La storia intera è che la società non ha semplicemente fatto il suo lavoro tradendo la fiducia e cercando di giustificare l’incompetenza accusando un criminale più grande.
[ad#midarticlequadr]
Mette a rischio, così, un sistema di fiducia che si è dimostrato inaffidabile.
La stampa si è concentrata sul fatto sensazionale che il sito di Comodo è stato violato partendo da un indirizzo IP dell’Iran.
Il cracker ha creato un account e rilasciato nove richieste validate, chiamate certificate signing request, per richiedere i certificati.
I certificati sono stati rilasciati all’intruso da Comodo.
L’azienda sottolinea che tutti i nove certificati sono stati revocati dopo la scoperta dell’attacco e non ha rilevato nessun tentativo di utilizzarli dopo la revoca.
Noi dovremmo farci tre domande:
- Come è possibile che qualcuno con un indirizzo iraniano abbia ottenuto un nome utente ed una password da Comodo con un’autorizzazione sufficiente per creare dei certificati SSL?
- Perché Comodo emette certificati SSL per google.com, live.com, yahho.com, mozilla.org e skype.com?
- Perché gli aggiornamenti del browser sono usati per revocare i certificati SSL?
Mi pare di aver letto in giro che questo tipo di situazioni possano generarsi molto facilmente ricorrendo a certificati SSL Domain Validation, data la debolissima procedura di verifica che li caratterizza… daltronde, con certificati a meno di 30 euro cosa ci si può aspettare…
Esattamente. Ma chi compera i certificati cerca di risparmiare e tipicamente vuole soltanto che l’utente possa, ad esempio, acquistare sul proprio negozio di e-commerce senza vedersi quel messaggio di certificato scaduto o non verificato, perché non è incluso nel browser.