La disputa Google vs Symantec: cosa cambia per gli utenti

By |12/03/2018 - 18:06|News|0 Comments

Nell’estate del 2017 Google ha annunciato che il suo browser, Chrome, a partire dalla versione 66 da lanciare nell’aprile 2018, non riconoscerà più la validità dei certificati SSL rilasciati dall’azienda informatica Symantec, nella fattispecie quelli rilasciati prima del 1° giugno 2016, e successivamente qualsiasi altro rilasciato dalle autorità di certificazione che Symantec ha acquisito negli anni scorsi (Equifax, GeoTrust, VeriSign).

Google ha pertanto invitato esplicitamente gli operatori dei siti che utilizzano tali certificati a fornirsi di un nuovo attestato che fosse rilasciato da una qualsiasi altra autorità riconosciuta da Chrome. I nuovi certificati, che siano sostituiti o rinnovati, dovranno essere operativi entro la data di rilascio di Chrome 70 (Ottobre 2018).

L’accusa che Google muove a Symantec riguarda l’emissione incontrollata dei certificati da parte di alcuni business partner che la stessa Symantec avrebbe fatto penetrare nella propria infrastruttura, cosa che violerebbe gli standard del CA/Browser Forum. La Symantec tra l’altro non era nuova a questo tipo di problemi: nel 2015 l’azienda era stata condannata a pagare una multa milionaria per due violazioni di brevetto. Visto il dominio assoluto del browser Chrome a livello mondiale (60% del browsing totale), per non perdere potenziali clienti e visitatori i siti non possono far altro che adeguarsi alle richieste di Google.

Ma come si è mossa finora Symantec? È iniziato il processo di sostituzione e/o rinnovamento dei certificati?

Per modernizzare le sue tecnologie in risposta alle richieste/accuse di Google, Symantec è entrata in partnership con la meno conosciuta autorità di certificazione DigiCert, affidandole l’intera gestione del settore Website Security, autenticandone i certificati e garantendone così l’affidabilità agli occhi dei maggiori browser, tra cui appunto Google.

Sta di fatto che i certificati emessi prima della partnership con DigiCert risultano affetti da alcuni aspetti di insicurezza, almeno secondo gli standard pretesi da Google e andrebbero perciò ri-emessi o ri-acquistati.

Per riassumere, se si è in possesso di certificati rilasciati da Symantec e altre autorità ad essa affiliate basta fare riferimento alle loro date di emissione e scadenza, tenendo presente fondamentalmente due possibili situazioni:

  • i certificati emessi prima del 1° Giugno 2016 dovranno essere rinnovati e/o sostituiti entro marzo 2018, la data di release di Chrome 66;
  • tutti gli altri certificati, emessi fino al 30 Novembre 2017, vanno rivisti entro la data di lancio di Chrome 70, presumibilmente Ottobre 2018.

Lascia un commento

This site uses Akismet to reduce spam. Learn how your comment data is processed.