Symantec
01/02/2015

Prima scadenza del Google Certificate Trasparency

Symantec pubblicherà su log i dati relativi ai certificati EV non a uso interno. Nessun intervento è richiesto da parte dei clienti.

Al fine di migliorare la sicurezza dei Certificati SSL, il browser Google Chrome inizierà con l'esigere il Certificate Trasparency (CT) per tutti i Certificati SSL con Extended Validation (EV) emessi successivamente al 1 febbraio 2015.

Tutti i certificati SSL con EV (inclusi quelli già rilasciati) con periodi di validità che vanno aldilà di gennaio 2015 devono essere registrati in almeno un registro CT qualificato.

Il 1 gennaio 2015 Google creerà una whitelist di certificati EV validi. Il 1 Feb 2015 (o successivamente, a seconda del piano di rilascio di Google Chrome) le piattaforme Chrome per desktop cesseranno di visualizzare l'indicatore EV per i Certificati SSL non presenti nella whitelist e non qualificati CT.
Chrome per piattaforme mobili cesserà di mostrare gli indicatori EV per i certificati non qualificati CT.

In altre parole la CT richiede che un certificato SSL debba avere le informazioni di certificazione utilizzate per l'emissione inserite in un registro pubblico (log) liberamente consultabile. Ciò riguarderà, per il momento, i soli certificati EV e consentirà di continuare a garantire la visualizzazione della barra verde nel browser Chrome.

Una volta che Google avrà acquisito la necessaria esperienza con i Certificati SSL di tipo EV pubblicherà un piano per applicare il CT a tutte le restanti tipologie di Certificati SSL.

Il progetto Google Certificate Trasparency

Grazie alla crittografia moderna i browser sono in grado di rilevare i siti Web dotati di certificati SSL contraffatti o falsi.

Tuttavia gli attuali meccanismi di crittografia non sono non sono in grado di individuare i siti Web dannosi qualora questi siano dotati di certificati emessi per errore o rilasciati da Autorità di Certificazione (CA) compromesse o inaffidabili.

In questi casi i browser non rilevano niente di sbagliato riguardo ai certificati, la CA sembra essere in regola, e gli utenti hanno l'impressione che il sito Web che stanno visitando sia autentico la loro connessione sicura.

Attualmente non esistono metodi semplici ed efficaci per monitorare o controllare i certificati SSL in tempo reale, cosicché quando accadono degli inconvenienti (frode o altro), i certificati sospetti non vengono di solito rilevati e quindi revocati.

Il numero e la gravità delle minacce basate sui certificati SSL è aumentato significativamente nel corso degli ultimi anni e l’obiettivo del progetto Google Certificate Trasparency è quello di fornire un sistema aperto di monitoraggio e controllo che permetta ad ogni proprietario di dominio o CA di determinare se i propri certificati sono stati emessi per errore o utilizzati in maniera fraudolenta. In tal modo, per estensione, si otterrà anche la protezione degli utenti.