Mozilla: maggiori garanzia da chi rilascia certificati SSL

Le recenti vicende di Diginotar hanno messo in luce quali siano le fragilità presenti nelle tecnologie di sicurezza ad oggi usate sul web: l'utilizzo di certificati SSL è sempre stato suggerito tra le best practice utili a innalzare il livello di sicurezza ma ora si impongono importanti interrogativi. Mozilla dopo aver bloccato i certificati Diginotar, non certo con un'azione preventiva o proattiva, ha deciso di affrontare il problema contattando in modo diretto tutte le società coinvolte nel rilascio di certificati digitali.

Lo scopo dell'iniziativa pare essere quello di raccogliere informazioni sulle singole Certificate Authority, imponendo alcune regole base per la gestione e il rilascio dei certificati. Le garanzie richieste da Mozilla pare siano orientate alla sicurezza delle infrastrutture utilizzate dalle singole CA per emettere i certificati, evitando quindi le situazioni imbarazzanti in cui Diginotar si è venuta a trovare.

Mozilla lascia circa una settimana alle varie Certificate Authority per rispondere ai quesiti, per adattare le proprie infrastrutture e viene precisato che la partecipazione a questa nuova iniziativa è del tutto discrezionale: di fatto Mozilla potrebbe avere facoltà di estromettere CA di cui non si fida. In questo scenario si avranno ricadute dirette per l'utente finale: qualora venga visitato un sito web protetto con un certificato emesso da una Certificate Authority non inserita nel nuovo programma Mozilla, il browser visualizzerà un alert con l'invito a non procedere nella navigazione per motivi di sicurezza.

Online si leggono vari commenti più o meno favorevoli all'iniziativa. Va comunque considerato che quanto fatto da Mozilla è un primo passo concreto e tangibile verso la risoluzione di una situazione al momento ancora delicata.

Tutti i principali produttori di browser web hanno più o meno reagito rapidamente al problema bloccando l'utilizzo dei certificati Diginotar. La situazione è però tutt'altro che risolta, infatti ci sono molti altri software che ancora utilizzano tali certificati SSL: Diginotar al momento compare nella Adobe Approved Trust List, quindi tali certificati sono ad esempio utilizzati da Adobe Reader e Acrobat ma Adobe dovrebbe intervenire a breve.