fbpx
Home Macity Internet Apple sfiducia la Certificate Authority cinese WoSign

Apple sfiducia la Certificate Authority cinese WoSign

Mozilla ha indagato per mesi il comportamento di WoSign, una Certificate Authority (CA) che aveva il compito di verificare le credenziali dei proprietari dei siti web protetti, quelli che appaiono segnalati con il lucchetto verde. A controllare le Authority sono i produttori dei vari browser che allo scopo sfruttano un database di CA “affidabili”, la root of trust per quasi tutti i  certificati di sicurezza usati sul web. Mozilla ha segnalato come inadeguato e fraudolento il comportamento dell’authorithy cinese e proposto la rimozione di WoSign dall’archivio delle CA integrato in Firefox.

Seguendo quanto già fatto da Mozilla, anche Apple integrerà modifiche in iOS e macOS al fine di bloccare futuri certificati rilasciati dall’authorithy cinese in questione. Benché – scrive PCWorld – non sembra che le certificazioni di WoSign siano usate per le certificazioni sugli store Apple, un certificato CA intermedio di WoSign è sfruttato per la firma incrociata di due altre CA ritenute affidabili da Apple: StartCom e Comodo e i prodotti della Mela finora hanno ritenuto affidabili i certificati emessi da queste CA intermedie.

Apple spiega che al fine di proteggere gli utenti, non supporterà più certificati sui quali si potrebbero avere dubbi. L’elenco dei comportamenti anomali di WoSign è lungo e documentato. Ha anche aggirato divieti imposti a certificati firmati con l’algoritmo SHA-1, ormai considerato insicuro e in fase di eliminazione da parte di tutti i browser, che considerano come non validi certificati SHA-1. WoSign ha, tra le altre cose, acquisito un’altra CA, l’israeliana Stracco, senza indicare il cambio di proprietà, non solo “in violazione della policy Mozilla per la manutenzione dei certificati delle CA”, ma anche negando l’acquisizione. Mozilla ha spiegato di “non avere più fiducia nella capacità di WoSign e StartCom di svolgere in buona fede e in modo competente le funzioni di CA”, decidendo pertanto di rimuovere WoSign dal database delle CA fidate e considerare non validi tutti i nuovi certificati. Sorprende in tutto questo lo strano silenzio di Google che al momento non ha rilasciato alcun commento.

WoSign secure-https

Offerte Speciali

Amazon sconta il Magic Mouse 2 del 25%: solo 65 euro

Magic Mouse 2 su Amazon al prezzo migliore di sempre: solo 58,99 euro

Su Amazon il Magic Mouse 2 è ancora in sconto. Ora lo pagate addirittura meno di 65 euro.
Pubblicità
Pubblicità

Seguici e aggiungi un Like:

64,666FansMi piace
94,046FollowerSegui