Un post comparso nel fine settimana sulle pagine del Google Online Security Blog riporta in auge una questione già trattata più volte in passato, fin dal 2011 con il caso DigiNotar che tanto fece scalpore. Si parla dei certificati utilizzati per la comunicazione server-client sul Web e, in particolare, di come la loro sicurezza possa essere compromessa in modo da intercettare le informazioni trasmesse. In questo caso il gruppo di Mountain View focalizza l’attenzione sull’operato dell’agenzia francese ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Il 3 dicembre siamo stati avvisati in merito a certificati digitali non autorizzati per alcuni servizi Google. Abbiamo indagato immediatamente, identificando il problema in un certificato intermedio (CA) che fa riferimento ad ANSSI, un’autorità francese. Questa tipologia di CA permette a chiunque la utilizzi di creare un certificato per qualsiasi sito Web si desidera impersonare. Per risolvere abbiamo aggiornato Chrome in modo da revocare subito il certificato e bloccare quello intermedio, avvisando poi ANSSI e gli altri team responsabili dei browser. Le nostre azioni hanno risolto subito il problema per i nostri utenti.
Questo è quanto scritto da Google sul proprio blog, che nell’occasione ribadisce l’importanza di sostenere un progetto come Certificate Transparency, lanciato proprio dal motore di ricerca nel 2011 con l’obiettivo di risolvere una volta per tutte i problemi legati all’utilizzo dei sistemi SSL (Secure Sockets Layer). Anche ANSSI è intervenuta sulla questione, con un comunicato sul proprio sito in cui si attribuisce tutta la responsabilità di quanto accaduto ad un errore umano.
Come risultato di un errore umano, compiuto durante un processo per rafforzare la sicurezza dei sistemi IT in dotazione al Ministero delle Finanze, i certificati digitali relativi a domini di terze parti che non appartengono all’amministrazione francese sono stati firmati da un CA di DGTrésor (Treasury), collegato a IGC/A (Infrastructure de Gestion de la Confiance de l’Administration). L’errore non ha avuto conseguenze sulla sicurezza del network, né per l’amministrazione francese né per gli utenti in generale.
A conti fatti ANSSI si assume la responsabilità di quanto accaduto, assicurando che fortunatamente la svista non ha portato ad alcuna conseguenza e promettendo una maggiore attenzione per il futuro. Il rischio di pratiche “man-in-the-middle”, ovvero con un terzo che si impossessa senza autorizzazione delle informazioni scambiate fra server e client, sembra essere scongiurato.