Aggiornamento Google Chrome

Aggiornamento Google Chrome 61. Stop ai certificati SSL da Wosign e StartCom.

Aggiornamento Google Chrome
Aggiornamento Google Chrome- https

Aggiornamento  Google Chrome in corso. Presto il browser più utilizzato da tutti gli utenti rimarrà diffidente nei confronti dei certificati SSL/TLS rilasciati da WoSign e StartCom, a causa di non mantenere i livelli standard previsti dalla CA.

Aggiornamento Google Chrome 61

Tale decisione dopo che Google ha ricevuto la notifica del team di Github che l’autorità cinese di certificazione WoSign aveva rilasciato un certificato di base per uno dei domini di GitHub a un utente GitHub senza nome senza autorizzazione.

Dopo che questo problema era stato segnalato, Google ha condotto un’indagine pubblica in collaborazione con Mozilla e la comunità di sicurezza, che ha scoperto diversi altri casi di assegnazione di certificati WoSign.
Di conseguenza, il gigante tecnologico lo scorso anno ha cominciato a limitare la sua fiducia nei certificati supportati da WoSign e StartCom a quelli rilasciati prima del 21 ottobre 2016. Ora, l’ingegnere di sicurezza di Chrome, Devon O’Brien, ha dichiarato che l’azienda avrebbe finalmente rimosso il licenziatario dal suo prossimo rilascio di Chrome, completamente diffidando i certificati WoSign e StartCom esistenti.

I problemi con il servizio di certificazione WoSign risalgono a luglio 2015 e pubblicati lo scorso anno dal programmatore britannico Mozilla Gervase Markham sulla mailing list della politica di sicurezza di Mozilla.
Secondo Markham, un ricercatore senza nome ha accidentalmente trovato questo errore di sicurezza quando ha cercato di ottenere un certificato per ‘med.ucf.edu’ ma ha anche fatto domanda per ‘www.ucf.edu’ e WoSign lo ha approvato, fornendo il certificato per il dominio primario dell’università .

Per scopi di prova, il ricercatore di sicurezza ha quindi usato questo trucco nei confronti dei domini di base Github (github.com e github.io), provando il suo controllo su un sotto-dominio.

E indovina cosa? WoSign ha inoltre consegnato il certificato per i domini principali di GitHub.
A partire da settembre 2017, i visitatori di siti che utilizzano i certificati WoSign o StartCom HTTPS avrebbero finalmente visualizzato avvisi di fiducia nei loro browser web.

Conclusione

Quindi, i siti web che ancora contano su certificati rilasciati da WoSign o StartCom sono invitati a considerare la sostituzione dei loro certificati “come urgente per ridurre al minimo gli errori per gli utenti di Chrome“, ha detto O’Brien.

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003