E’ di pochi giorni fa la notizia che la CA (certification authority) fiamminga DigiNotar è stata vittima di un hack che ha comportato la creazione di “almeno” un certificato SSL falso.
A questa notizia, vuoi per i toni tecnici, vuoi perchè riguarda (o sembra riguardare…) solo i Paesi Bassi, non è stata data dai media adeguata copertura, ma la vicenda è tutt’altro che di secondaria importanza. La situazione è seria, talmente pericolosa che il governo dei Paesi Bassi ha deciso di “commissariare” la DigiNotar, per avere contezza delle dimensioni della crisi.
Per capire la portata devastante di quanto successo è necessario capire cosa sono e come funzionano i certificati SSL. Questi certificati digitali vengono utilizzati per garantire l’identità di un sito web (così come di una persona fisica, di una persona giuridica, ecc.). Sul web, l’uso più comune di questi certificati riguarda l’accesso ai siti attraverso il protocollo HTTPS (ossia HTTP con l’aggiunta del protocollo crittografico SSL). Tramite questi certificati, il browser stesso si accerta automaticamente che il sito a cui si è connessi sia autentico ossia che corrisponda effettivamente a quello che dichiara di essere.
Facendo un esempio pratico, questi certificati consentono all’utente di avere la certezza che, quando ci si connette, per esempio, al portale home banking della Unicredit si stia navigando proprio sul sito che fa capo al famoso gruppo bancario e non in un sito civetta realizzato da qualche malintenzionato
Come si può vedere nell’immagine, infatti, è lo stesso browser a leggere il certificato e ad assicurare l’utente sulla reale identità di chi gestisce il sito.
Si tratta, quindi, in un sistema che si basa sulla fiducia che ciascuno ripone nelle c.d. CA, ossia quei soggetti terzi che emettono i certificati garantendo che il soggetto che li richiede sia effettivamente chi dice di essere (nel nostro esempio la Unicredit). In questo sistema, però, è sufficiente la violazione di una sola CA per compromettere, almeno fino alla scoperta del fatto, tutto il modello.
Ma cosa è successo in termini pratici con la DigiNotar? Chi ha violato questa autorità di certificazione, ha usato le informazioni (chiavi) rubate per creare certificati a nome di diverse organizzazioni: da quanto è emerso ad oggi, sono stati creati falsi certificati relativi a Google e al dominio .torproject.org.
Questi certificati “falsi” nel contenuto, ma tecnicamente autentici,almeno sino alla scoperta della falla sono stati potenzialmente riconosciuti da tutti i browser del mondo come appartenenti a Google e a torproject.org! In questo modo è possibile reindirizzare gli utenti che volevano collegarsi a torproject.org o ad un sito di Google verso falsi siti dotati del certificato falsificato che sarebbe stato riconosciuto come autentico. E ciò senza che l’utente potesse minimamente sospettare di essere vittima di un illecito.
Ad ogni buon conto ad oggi non esiste la prova che questi certificati “falsi” siano stati in alcun modo concretamente utilizzati. Quello che è certo è che pare oramai indispensabile un ripensamento del modello di fiducia che la Rete ha con troppa superficialità adottato.
Anche perchè sulla vicenda rimangono senza risposta altri interrogativi di fondo: “Perché l’hacker ha corso questo rischio per creare un certificato fasullo di torproject.org, e non piuttosto quello di un ente governativo o di un’istituto bancario?”