A causa della revoca dei certificati digitali, nella versione 90 di Google Chrome, che sarà rilasciata nella versione Beta il prossimo 11 Marzo, non si potrà utilizzare l’accesso a nessun servizio bancario del Gruppo Intesa Sanpaolo e di InfoCert. Comparirà un messaggio di errore che avviserà che i siti della banca non sono sicuri. InfoCert rasserena gli animi dei clienti Intesa: "I disservizi determinati dalla revoca dei certificati riguardano soltanto chi sta utilizzando la versione Chrome 90 per gli sviluppatori e chi dal 11 Marzo si avvarrà della versione Beta.
Ma in nessun modo chi, come detto, utilizzerà la versione ufficiale il cui rilascio è previsto per il 13 Aprile”
Certificati digitali Camerfirma revocati
Il problema risiede nel fatto che il sito del gruppo bancario d’Italia, che partecipa al 18,26% del capitale della Banca d’Italia con 54.766 quote, si affida a certificati digitali emessi dalla società Camerfirma SA con sede in Spagna.
I certificati digitali sono quei documenti elettronici che ci garantiscono una connessione sicura e criptata quando si accede a siti dove ciò è indispensabile, per esempio quando si usano i servizi bancari online. Evitando quindi che malintenzionati possano avere accesso a informazioni sensibili come password o saldi bancari.
I certificati digitali vengono emessi da una Autorità Certificativa riconosciuta e accettata in Europa grazie al Regolamento eIDAS (electronic IDentification Authentication and Signature - Regolamento UE n° 910/2014).
Camerfirma è una Autorità Certificativa qualificata eIDAS con sede in Spagna, la più grande del Paese iberico, ed è stata presa di mira per tre precedenti incidenti gravi di certificazione, nel 2018, 2019 e 2020, a cui sembra non aver risposto adeguatamente.
Si trattava in quei casi di una emissione di un certificato per un dominio inesistente e di una non verifica CAA.
Annuncio pubblico di Google della revoca per Camerfirma
La gestione non corretta di questi incidenti, evidenziati dal gruppo di sviluppatori di Mozilla, su cui si basa li famoso browser Firefox, ha spinto Google, nelle prossime versioni del browser Chrome, a revocare la validità dei certificati digitali emessi da Camerfirma perché non rispondenti agli standard di sicurezza necessari.
Infatti Ryan Sleevi, Staff Software Engineer di Google, partecipando ad una discussione pubblica sulla modalità di gestione dei problemi dei certificati digitali di Camerfirma, ha annunciato il 25 gennaio che "Dopo la piena considerazione delle informazioni disponibili, e al fine di proteggere e salvaguardare gli utenti di Chrome, i certificati emessi da AC Camerfirma SA non saranno più accettati in Chrome, a partire da Chrome 90".
La tempistica del rilascio di questa revoca dei certificati di Camerfirma è molto veloce: secondo Ryan Sleevi non saranno accettati già nella versione Beta di Chrome 90 rilasciata nella settimana di giovedì 11 marzo 2021 per poi divenire definitiva nella versione stabile il cui rilascio è previsto nella settimana di martedì 13 aprile 2021 .
Come annunciato da Ryan Sleevi, già oggi i proprietari dei siti web, come gli utenti di Chrome, possono vedere in funzione la revoca sui canali di rilascio di Chrome delle versioni Dev e Canary, su cui infatti già non funzionano più i siti del Gruppo Intesa Sanpaolo, come già anche quelli di InfoCert, che produce il proprio certificato.
Il legame Camerfirma - InfoCert
Da evidenziare che Camerfirma è molto affermata in Spagna e che questo problema affliggerà anche il sito della Agenzia delle Entrate spagnola, che sulle versioni citate di Chrome già non funziona, creando possibili problemi già ad Aprile 2021 quando gli spagnoli dovranno interfacciarsi per la propria dichiarazione dei redditi.
Infocert è “una delle principali Certification Authority a livello europeo per i servizi di Posta Elettronica Certificata, Firma Digitale e Conservazione digitale dei documenti (Conservatore Accreditato AgID).
Da dicembre 2015 InfoCert è anche gestore accreditato AgID dell’identità digitale di cittadini e imprese, in conformità ai requisiti regolamentari e tecnici dello SPID (Sistema Pubblico per la gestione dell'Identità Digitale)”.
InfoCert il 3 maggio 2018 "ha acquisito il 51% di Camerfirma sottoscrivendo un aumento di capitale di 3,1 milioni di Euro. InfoCert finanzierà l’acquisizione mediante l’utilizzo di risorse interne.”
InfoCert è controllata dal Gruppo Tinexta, di cui è Presidente Enrico Salza, che è anche Presidente di Tecno Holding S.p.A., proprietaria del 55,75% di Tinexta. Salza è stato anche presidente del gruppo Intesa Sanpaolo.
La situazione attuale di InfoCert e Camerfirma
Quindi i problemi per Enrico Salza sono duplici e interconnessi: la controllata InfoCert e la partecipata di maggioranza Camerfirma sono coinvolte nella revoca dei certificati digitali da parte di Google, che a catena ricadono anche sui siti del Gruppo Intesa Sanpaolo che si affidano a Camerfirma.
Tinexta invece usa un certificato rilasciato da Amazon mentre i siti di Tecno Holding utilizzano come CA la PKI ISRG che rilascia il certificato come R3. Quindi non si affidano ai servizi della propria Camerfirma SA.
Cosa accadrà nel prossimo futuro? Se già non si possono utilizzare le versioni Dev e Canary di Chrome, resta da chiedersi se InfoCert riuscirà a risolvere i problemi di Camerfirma prima di Marzo o almeno Aprile.
InfoCert rassicura: 'Camerfirma non è certamente ai vertici di un’ipotetica classifica di tali incidenti'
Carmine Auletta, Chief Innovation & Strategy Officer di InfoCert – Tinexta Group, contattato da Blasting News ha rilasciato una dichiarazione a seguito di una intervista sull'argomento certificati digitali, che mette fine alle preoccupazioni per l'uso della versione di Chrome 90 stabile da parte degli utenti di Intesa Sanpaolo:
"Incidenti quali quelli contestati alla nostra controllata spagnola Camerfirma sono statisticamente fisiologici per le Certification Authorities.
Per dare la giusta dimensione dell’accaduto, possiamo affermare senza tema di smentita che Camerfirma non è certamente ai vertici di un’ipotetica classifica di tali incidenti, in termini sia di numero sia di gravità. Peraltro, il provvedimento di revoca riguarda solo i certificati di TLS Server Authentication che costituiscono meno dell’1% del totale dei certificati emessi dalla società iberica. Ci siamo comunque immediatamente attivati - a prescindere da qualsiasi possibile giudizio sull’eventuale eccesso di rigore nell’adozione della misura – per fornire dei certificati sostitutivi, appositamente emessi, ai clienti, e garantire così gli usuali livelli di servizio di InfoCert e delle proprie partecipate.
Questo significa che, progressivamente e comunque entro il 13 Aprile, cioè quando sarà rilasciata la versione definitiva del browser Google Chrome 90, tutti gli utenti non avranno alcun problema ad accedere e navigare sui siti attualmente dotati di certificati TLS Server Authentication emessi da Camerfirma. Non si deve, infatti, dimenticare che i disservizi determinati dalla revoca dei certificati riguardano soltanto chi sta utilizzando la versione Chrome 90 per gli sviluppatori e chi dal 11 Marzo si avvarrà della versione Beta. Ma in nessun modo chi, come detto, utilizzerà la versione ufficiale il cui rilascio è previsto per il 13 Aprile”.
