Google sfida la Cina e dichiara non sicuri migliaia di siti

La storia fra Google e la Cina è fatta di alti e bassi, per la verità più bassi che alti. Questa volta il gigante dei motori di ricerca ha apertamente accusato il CNNIC, l’ente cinese che si occupa di erogare i certificati digitali che dovrebbero attestare l’autenticità di un sito e garantirne la sicurezza delle comunicazioni, di non esercitare un controllo sufficiente a rendere efficace la sua azione.

In altre parole ed in modo molto più semplice se vi capita di navigare su un sito con estensione .cn ed il cui url inizi con HTTPS:// potreste trovarvi davanti ad una miriade di messaggi di Chrome che avverte che quel sito non è sicuro. Potrebbe appartenere ad organizzazioni che non sono quelle indicate nel certificato digitale rilasciato da CNNIC e che ne dovrebbe attestare l’autenticità.

Una consociata sotto accusa

Il fattore scatenante di questa presa di posizione di Google nei confronti della Cina è da ricercarsi nella condotta di un’azienda egiziana, MCS Holding, subappaltatrice del CNNIC che avrebbe rilasciato i famosi certificati digitali con una certa leggerezza. È la stessa Google a dare notizia dell’accaduto e a indicare la società egiziana come responsabile di avere rilasciato certificati non autorizzati indicando come data di inizio dell’incidente il 20 Marzo.

Google dunque, una volta identificato il problema, avrebbe bloccato i siti equipaggiati con certificati, a detta di Google, non autorizzati e contemporaneamente, sempre secondo quanto dichiarato da Google, avrebbe avvertito il CNNIC del problema. L’ente Cinese avrebbe risposto prontamente fornendo una spiegazione tecnica all’accaduto ma avrebbe continuato a delegare parte della sua autorità all’azienda egiziana che sempre a quanto riportato da Google non sarebbe stata adatta al compito.

La decisione finale

Google il 1 Aprile ha aggiornato il comunicato con cui aveva dato annuncio dei fatti con una nota piuttosto secca e precisa:

“Come risultato di un’investigazione incrociata degli eventi che hanno circostanziato questo incidente fra Google e CNNIC, abbiamo deciso che il la Root CNNIC la CA EV non sarà più riconosciuta dai prodotti di Google. Questa decisione avrà effetto dal prossimo update di Chrome”

Seguirà un breve periodo intermedio all’interno del quale i certificati del CNNIC continueranno ad essere accettati in Chrome in modo da consentire ai siti di ottenere una certificazione da un nuovo provider senza troppi scossoni per gli utenti, ma al termine di questo periodo i siti in questione saranno ritenuti non sicuri e gli utenti saranno avvertiti ,con un popup, che visitare un sito con quel tipo di certificato potrebbe dare luogo a problemi di sicurezza.

Il CNNIC d’altra parte per niente intimorito ha rilasciato una dichiarazione altrettanto secca e piccata nei confronti di Google:

“La decisione presa da Google è inaccettabile e incomprensibile per CNNIC e contemporaneamente CNNIC esorta Google a tenere in seria considerazione i diritti e gli interessi degli utenti”
“Per gli utenti ai quali il CNNIC ha già rilasciato i certificati possiamo garantire che i vostri diritti e i vostri legittimi interessi non saranno toccati”