Mozilla: più garanzie sui certificati SSL

di Alessandro Vinciarelli

12 Settembre 2011 14:30

Dopo i recenti casi di violazione delle certification authority Mozilla chiede più garanzie riguardo ai certifiati SSL da utilizzare sul Web.

SSL:Mozilla corre ai ripari dopo il recente caso di Diginotare di altre Certification Authority che sarebbero state violate dal cracker noto come ComodoHacker. I certificati fasulli distribuiti in rete potrebbero essere infatti migliaia, un numero significativo che potrebbe mettere in pericolo milioni di navigatori.

Per questa ragione Mozilla ha deciso di intervenire, in primo luogo bloccando i certificati Diginotar ed imponendo alcune regole base per la gestione e il rilascio dei certificati SSL.

La linea scelta dal produttore di browser non è ancora chiara e per il momento sembra orientarsi verso la sicurezza delle infrastrutture utilizzate dalle CA per emettere i certificati.

Tecnicamente sono state contattate le aziende che emettono certificati SSL, interrogandole circa le loro infrastrutture e le loro procedure di emissione e gestione dei certificati stessi. Ovviamente però le CA hanno facoltà di non rispondere ai quesiti di Mozilla, ma quest’ultima si riserva la possibilità di estromettere le CA di cui non si fida.

In più, in questi casi, l’utente che volesse visitare pagine web protette da queste CA verrebbe avvisato di una possibile criticità in termini di sicurezza e verrebbe invitato a scegliere se proseguire o meno la navigazione utilizzando un apposito tasto.

Il tutto rappresenta un primo tentativo di risolvere la problematica, che tuttavia è relativa solo al contesto dei browser e più in particolare di Mozilla. Infatti qualora i certificati venissero utilizzati in altri ambiti, ad esempio per le applicazioni Adobe Reader e Acrobat, al momento nessun alert avviserebbe l’utente di un eventuale pericolo.