Sicurezza

Caos sul Web: più di 23.000 siti senza certificati SSL

Gli sforzi degli ultimi anni per imporre l’uso delle connessioni SSL a tutti i siti Web hanno avuto successo e oggi chi gestisce un sito su Internet sa benissimo che senza un certificato che garantisca una connessione sicura si rischia che buona parte dei browser blocchino il collegamento.

Il rovescio della medaglia, però, è che se per qualsiasi motivo il certificato viene revocato e non lo si rimpiazza in tempi record, si rischia di essere oscurati. A sperimentare l’ansia legata a una situazione di questo tipo sono stati i gestori di 23.000 siti Internet che ieri si sono visti revocare i loro certificati con un preavviso brevissimo: 24 ore.

tweet

A provocare il caos è stata una (complicata) disputa tra DigiCert e Trustico, due società che si occupano di emettere certificati SLL (la prima) e di venderli agli utilizzatori finali (la seconda). Nel dettaglio, tutto sarebbe partito da una richiesta di Trustico, che avrebbe voluto la revoca di alcune migliaia di certificati (per la precisione 50.000) acquistati da DigiCert.

Incassato il rifiuto del fornitore, Trustico avrebbe deciso di forzare la mano a DigiCert inviando un’email con le chiavi private di 23.000 clienti. Un comportamento, questo, che ha obbligato il fornitore a considerare i certificati come compromessi e avviarne la revoca. Risultato: migliaia di amministratori IT si sono trovati nella situazione di dover rimpiazzare il certificato in una manciata di ore.

Per saperne di più leggi l’articolo completo su Security Info, il sito Internet completamente dedicato alle news e agli approfondimenti sul tema della sicurezza informatica.