HTTPS, urgono cambiamenti

L’aggressione nei confronti di GlobalSign, la quale ha fatto temere il ripetersi di un nuovo caso DigiNotar, ha assunto contorni maggiormente nitidi: la società che si occupa di sistemi per la certificazione online ha pubblicato infatti un report nel quale si evince quali siano state le misure messe in atto negli istanti successivi all’attacco, il quale non ha coinvolto uno dei server del gruppo, bensì una macchina esterna prontamente bloccata dagli addetti ai lavori.

Nessun nodo dell’infrastruttura di GlobalSign è stata dunque coinvolta direttamente nell’aggressione, con il gruppo che ha agito nel miglior modo possibile sia durante che dopo la minaccia. Al momento non sussiste quindi alcun pericolo per i certificati SSL firmati dall’authority in questione, il cui operato viene elogiato dalla società di sicurezza Sophos. Nel frattempo, però, viene evidenziata l’esigenza di nuove misure di sicurezza che possano irrobustire ulteriormente il sistema attualmente presente per la gestione di connessioni sicure nel web.

In tal senso sono diverse le proposte messe sul tavolo da altrettante società ed enti. L’Electronic Frontier Foundation, ad esempio, ha da diverso tempo suggerito una tecnologia battezzata Sovereign Keys, in base alla quale ciascun certificato può essere validato mediante l’interrogazione di un database comune dislocato all’interno di vari mirror cui far riferimento durante una sessione HTTPS. Anche da Google è giunta una proposta piuttosto simile, denominata Certificate Authority Transparency and Auditability e caratterizzata dall’assenza del metodo DNSEC individuato dall’EFF per l’interrogazione dei mirror.

Le idee, insomma, non mancano: prima di vederle diventare realtà potrebbe tuttavia esser necessario attendere ancora diverso tempo, permettendo alle autorità competenti di stabilire quale possa essere la soluzione migliore per arginare un problema che negli ultimi mesi si è ripetuto in più occasioni, minando la sicurezza di milioni di navigatori a livello globale.