Aggiornamento: Mozilla ha dichiarato di voler assumere una posizione ufficiale sul tema a breve, mentre da CNNIC arriva la replica al comunicato di Google. L’ente cinese definisce “inaccettabile e incomprensibile” la decisione presa dal gruppo di Mountain View.
Il 20 marzo abbiamo individuato certificati digitali non autorizzati per alcuni domini Google. I certificati erano forniti da un’autorità intermediaria apparentemente gestita da una società chiamata MCS Holdings, rilasciato poi da CNNIC.
Si apre così il post di Google sul blog dedicato alla sicurezza, in cui il gruppo di Mountain View annuncia l’intenzione di prendere provvedimenti che porteranno a breve a bloccare l’accesso a migliaia di siti Web cinesi. L’acronimo CNNIC indica infatti China Internet Network Information Center, nome dell’ente di Pechino che gestisce la Rete nel paese asiatico.
In sintesi, la situazione ricorda quella del 2013, quando a finire tra le polemiche fu l’agenzia francese ANSSI. Il potenziale rischio per gli utenti è quello di vedere le informazioni trasmesse dagli utenti intercettate, mediante l’impiego di una tecnica chiamata man-in-the-middle. Va comunque precisato che al momento non risultano abusi o violazioni della privacy, né tantomeno sottrazioni di dati personali. Per questo motivo bigG non suggerisce ai navigatori alcuna misura di riparazione, come il cambio delle password o altro.
Abbiamo prontamente avvertito CNNIC e gli altri principali browser dell’incidente e bloccato il certificato di MCS Holdings in Chrome con un push CRLSet. CNNIC ha risposto il 22 marzo, spiegando di aver trovato un accordo con MCS Holdings in base al quale quest’ultima fornirà i certificati solo per i domini registrati.
Le indagini condotte hanno portato Google a prendere una decisione difficile, che rischia di inasprire i rapporti già tesi con le autorità cinesi, nell’ottica però di garantire il massimo livello di sicurezza possibile ai propri utenti. Questi, visitando un sito “https://***.***.cn”, vedranno con molta probabilità comparire un messaggio con l’avviso di un potenziale pericolo. Il blocco di CNNIC diverrà effettivo prossimamente, con tempistiche non meglio precisate, mediante il rilascio di un aggiornamento per il browser Chrome. In futuro l’ente asiatico potrà uscire dalla blacklist di bigG, ma solo dopo aver rilasciato pubblicamente un elenco dei certificati validi utilizzati e dopo aver inoltrato la richiesta al gruppo di Mountain View.