distrust

Cosa è un distrust?

Il termine distrust in ambito di certificati digitali SSL si riferisce al processo attraverso il quale una Certification Authority (CA) viene rimossa dalla lista delle CA ritenute affidabili da parte dei browser o di altri sistemi di digital trust.

Quando un browser come Google Chrome decide di mettere in distrust una CA, significa che i certificati emessi da quella CA non saranno più considerati validi e quindi la connessione verso quel sito non sarà considerata sicura dal browser a partire da una certa data.

Questo processo avviene per vari motivi, tra cui il mancato rispetto delle normative di sicurezza, comportamenti non conformi alle linee guida del CA/Browser Forum, o altri problemi che mettono a rischio la sicurezza degli utenti.

Motivi per il distrust di una CA

  1. Mancato rispetto delle normative: le CA devono rispettare rigide normative di sicurezza stabilite dal CA/Browser Forum. Se una CA non riesce a rispettare queste normative, può essere rimossa dalla lista delle Root CA incluse nel browser.
  2. Incidenti di sicurezza: se una CA è coinvolta in incidenti di sicurezza, come l’emissione di certificati fraudolenti o la gestione inadeguata delle chiavi di crittografia, può perdere la fiducia da parte dei browser e non agisce in modo adeguato per rimediare. Oltre agli incidenti di sicurezza possono esserci anche dei problemi di compliance cui le CA potrebbero essere soggette.
  3. Trasparenza e collaborazione insufficienti: i browser si aspettano che le CA siano trasparenti riguardo ai problemi e collaborino per risolverli. La mancanza di trasparenza o la collaborazione insufficiente possono portare al distrust.

Impatti del distrust

Quando una CA viene distrusted, i certificati emessi da quella CA non saranno più accettati come validi dai browser.

Questo può avere diversi impatti:

  • Interruzioni del servizio: i siti web che utilizzano certificati di una CA distrusted vedranno i loro certificati rifiutati dai browser, causando problemi di accesso per gli utenti.
  • Perdita di fiducia degli utenti: gli utenti potrebbero vedere avvisi di sicurezza quando visitano siti con certificati non fidati, danneggiando la reputazione del sito.
  • Necessità di migrazione: le aziende devono migrare rapidamente a una nuova CA fidata per evitare interruzioni e mantenere la fiducia degli utenti.

Un esempio recente: il distrust di Entrust da parte di Google

Google ha annunciato che Chrome non si fiderà più dei certificati SSL/TLS emessi da Entrust a partire dal 31 ottobre 2024. Questo è stato deciso a causa di comportamenti preoccupanti identificati nei processi di emissione dei certificati da parte di Entrust.

Come risultato, le aziende che utilizzano certificati Entrust devono cercare alternative per evitare interruzioni nei loro servizi web.

Cosa fare se si è colpiti?

Se la tua organizzazione è colpita da un distrust, è importante:

  1. Verificare l’impatto: identificare tutti i certificati emessi dalla CA distrusted.
  2. Pianificare la migrazione: scegliere una nuova CA che sia fidata dai principali browser e pianificare la migrazione dei certificati.
  3. Aggiornare la documentazione: assicurarsi che la documentazione interna e le politiche di sicurezza riflettano i cambiamenti.
  4. Usare strumenti giusti e affidabili: strumenti di automation che aiutano le aziende ad avere un inventory aggiornato con possibilità di fare un replacement dei certificati su larga scala in modo facile. Ad esempio il Trust Lifecycle Manager o il CertCentral Enterprise (entrambi moduli del DigiCert ONE)

In sintesi, il distrust è un meccanismo di sicurezza critico per mantenere la fiducia e la sicurezza nell’ecosistema dei certificati digitali. Le organizzazioni devono essere pronte ad agire rapidamente per mitigare i rischi associati.

Risorse Utili

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *