La Russia crea i propri certificati TLS per i siti, ma potrebbe non essere una buona idea

La Russia crea i propri certificati TLS per i siti, ma potrebbe non essere una buona idea
di

Allo scopo di aggirare le sanzioni imposte delle autorità occidentali, la Russia ha creato una propria agenzia di certificazione TLS (CA) con l’obiettivo di risolvere i problemi di accesso ai siti web. Con l’arrivo selle sanzioni, infatti, negli ultimi giorni non sono stati rinnovati i certificati, causando problemi agli utenti.

Prima di entrare nei dettagli, è bene precisare che quando il certificato di un sito web è scaduto, il browser visualizzerà un messaggio informativo in cui si legge che la pagina da visitare non è sicura. Per aggirare questo problema, le autorità russe hanno deciso di creare una CA nazionale.

Sostituirà il certificato di sicurezza estero se viene revocato o scade” si legge sul sito web del Ministero dello Sviluppo Digitale, il quale precisa che “fornirà un analogo certificato, ai proprietari dei siti web, entro 5 giorni lavorativi”.

Come osservato da BleepingComputer, però, la CA deve essere considerata affidabile dai siti web e prima di ottenere il via libera necessita dell’ok da parte di varie aziende, il che richiede una procedura non certo rapida.

Allo stato attuale, solo due browser sarebbero in grado di riconoscere la nuova CA: Yandex ed Atom. I siti che stanno già utilizzando questi certificati sono Sberbank, VTB e quello della Banca Centrale Russa. Appare inoltre improbabile che Chrome, Edge e Firefox li accettino, e dal momento che si tratta dei browser più diffusi i disservizi per gli utenti potrebbero essere tanti.

Gli esperti di sicurezza sostengono che una mossa di questo tipo potrebbe avere effetti non positivi anche sugli stessi cittadini. “È un’ulteriore escalation nel conflitto contro un Internet aperto e un’espansione del controllo sui cittadini. La Russia si sta anche chiudendo fuori dall’economia globale e offuscando le speranze di crescita economica per le generazioni attuali e future di cittadini russi” ha affermato un ricercatore di Venafy, a cui fa eco il Security Engineer Prati Selva secondo cui “questa nuova CA diventerà un obiettivo di Anonymous ed altri gruppi che stanno conducendo attacchi informatici contro le autorità russe”.

La preoccupazione, inoltre, è che la Russia possa abusare di questi nuovi certificati per intercettare il traffico HTTPS ed eseguire attacchi man-in-the-middle.

Nel corso delle ultime ore, in Russia è stato registrato un incremento esponenziale dei VPN in Russia: evidentemente sempre più persone stanno cercando di aggirare le sanzioni e la censura.

Quanto è interessante?
5