Un post di Comodo in un gruppo di sviluppo di Mozilla, la situazione di Comodo è molto più sconfortante di quando sembrava. Tanto per cominciare, dicono en passant che altri due account di RA sono stati compromessi: “Two further RA accounts have since been compromised and had RA privileges withdrawn. No further mis-issued certificates have resulted from those compromises.” Quel “since” naturalmente è poco chiaro: vuole dire che mentre loro stavano esaminando la situazione gli hanno compromesso altri due account sotto al naso? O molto più probabilmente, indagando si sono accorti di altri due account compromessi, dei quali altrimenti non si sarebbero accorti? Sarebbe anche interessante sapere come fanno ad essere sicuri che nessun certificato falso è stato emesso, visto che leggendo oltre la loro capacità di verificare l’autenticità delle richieste è come minimo approssimativa. In effetti, tutte le misure di sicurezza che descrivono sembrano applicate “a molti casi ma non a tutti”, con un risultato piuttosto grottesco. Ma penso che la parte veramente triste, che si poteva intuire dalle notizie già diffuse ma che qui trova conferma, è la qualità dell’autenticazione: “We are rolling out improved authentication for all RA accounts. We are implementing both IP address restriction and hardware based two-factor authentication. The rollout of two-factor tokens is in progress but will take another couple of weeks to complete” Per intenderci, l’autenticazione necessaria per creare richieste di certificati era paragonabile finora a quella di un account su Youtube; chissà se c’era anche il bottone “remember me” 😉
Magari qualcuno potrebbe pensare che siccome non usa Comodo la cosa lo riguardi fino a un certo punto, ma ripeto che per come funzionano i browser, anche se il vostro sito usa un certificato di un’altra CA (anche gestita internamente), un man in the middle realizzato con un certificato firmato da Comodo verrebbe accettato felicemente dalla (quasi?) totalità dei browser.
Intanto, le altre CA se ne stanno belle schiscie, Scommetto che le scadenti misure di sicurezza di Comodo non sono un problema solo di Comodo. Il che ci riporta alla domanda: quanti certificati fasulli possono essere stati emessi grazie a queste misure di sicurezza? E, chi se ne accorgerebbe, quando non fossero per nomi altisonanti come quelli dei nove certificati di Comodo? Altra domanda: qualcuno ritiene che in conseguenza di questo incidente cambierà qualcosa, a parte il toppino messo sul buco di Comodo?
