Certificati SSL fraudolenti di *.google.com, come proteggersi
Sono rimasti in circolazione dei certificati SSL validi ma falsificati di *.google.com per oltre 5 settimane generati da DigiNotar, Internet Trust Provider, azienda del gruppo VASCO.
Un certificato SSL è un documento elettronico, rilasciato da una terza parte fidata, l’Autorità di Certificazione, che autentica l’identità di una società o di un’organizzazione e contiene le seguenti informazioni:
- denominazione dell’azienda o dell’organizzazione titolare del certificato
- common name del certificato (ad esempio www.google.com)
- periodo di validità del Certificato
- emittente, quale Autorità di Certificazione ha emesso il certificato
- chiave pubblica del certificato firmata digitalmente attraverso la chiave privata dell’Autorità di Certificazione
Non è stata data una spiegazione ufficiale ma DigiNotar ha invalidato il certificato, Google lo ha reso untrusted in Chrome OS e nel security blog di Mozilla le nuove release di Firefox for desktop (3.6.21, 6.0.1, 7, 8, and 9) e mobile (6.0.1, 7, 8, and 9), Thunderbird (3.1.13, and 6.0.1) e SeaMonkey (2.3.2) hanno tolto il trust.
In OSX possiamo rimuovere il certificato a livello globale dal portachiavi ( Applicazioni/Utility/Accesso Portachiavi) in quattro semplici step:
- cercare nella barra del search “diginotar”
- selezionare il certificato
- eliminarlo con il tasto cancellazione
- inserire la password di un amministratore di sistema per procedere
Come ulteriore misura di sicurezza impostare nelle preferenze dei certificati di usare OCSP (Online Certificate Status Protocol) e CLR (Certificate revocation list).