In un’epoca in cui la fiducia digitale è una moneta rara, i progetti open source legati alla crittografia e all’identità digitale devono sottoporsi a controlli rigorosi. È in questo contesto che si inserisce il lavoro di Francesco Ongaro, noto ethical hacker italiano, che ha condotto un’importante analisi del codice sorgente per CAcert, una Certification Authority (CA) non commerciale e gestita dalla community.
Che cos’è CAcert?
CAcert è un’autorità di certificazione gratuita e comunitaria, nata per fornire certificati digitali X.509 a utenti, sviluppatori e organizzazioni che desiderano cifrare email, autenticare server e garantire l’integrità delle comunicazioni. A differenza delle CA commerciali, CAcert si basa su un modello di fiducia distribuita, convalidata da incontri fisici e la cosiddetta “Web of Trust”.
Il progetto, puramente no-profit, si distingue per la trasparenza e l’accessibilità del proprio codice sorgente, offrendo alla community la possibilità di contribuire direttamente alla sua sicurezza.
CAcert può essere considerata l’archetipo delle moderne iniziative di identity decentralization e dei sistemi open source di gestione della fiducia, concetti oggi centrali nello sviluppo di soluzioni come Decentralized Identifiers (DID), Self-Sovereign Identity (SSI) e framework basati su blockchain PKI. Pur operando in un contesto tecnico e normativo molto diverso, CAcert ha anticipato l’idea che la sicurezza digitale possa (e debba) essere costruita in modo collaborativo, trasparente e non centralizzato.
In un certo senso, CAcert ha anticipato il ruolo di Let’s Encrypt nel promuovere l’adozione della crittografia, ma senza il supporto delle grandi aziende tech né l’integrazione automatica nei browser. Era una CA gratuita e trasparente, ma autofinanziata e sostenuta interamente dalla sua community, con un modello più artigianale e decentralizzato rispetto alle iniziative odierne sponsorizzate dall’industria.
Un approccio etico e tecnico all’analisi del codice
Francesco Ongaro, noto anche come ascii, è un esperto di sicurezza informatica e fondatore di USH, laboratorio di ricerca italiano. Nel 2007, Ongaro ha iniziato un audit volontario e indipendente del codice sorgente di CAcert, analizzando in particolare le funzionalità web accessibili al pubblico.
Durante il Month of CAcert Bugs, Ongaro ha identificato più di 9 vulnerabilità nella piattaforma, dimostrando l’efficacia di un approccio sistematico all’analisi del codice. Questo lavoro ha evidenziato criticità rilevanti nelle funzionalità web accessibili al pubblico, sottolineando la necessità di una revisione continua anche nei progetti open source più consolidati.
Le vulnerabilità emerse e le reazioni del progetto CAcert
Le vulnerabilità identificate da Ongaro sono state considerate gravi dal consiglio di CAcert, come riportato nei verbali ufficiali del 17 settembre 2007. In particolare, la discussione ha evidenziato:
- La necessità di incrementare le revisioni comunitarie del codice.
- L’urgenza di separare le responsabilità tra sviluppo software e amministrazione di sistema, per ridurre conflitti di interesse e rischi operativi.
Perché questo audit rappresenta un caso di studio fondamentale
L’audit condotto da Ongaro rappresenta un esempio concreto di responsible disclosure e di collaborazione tra ethical hacker e progetti open source. L’identificazione e la divulgazione controllata di vulnerabilità critiche hanno permesso a CAcert di aumentare il proprio livello di sicurezza e hanno rafforzato il messaggio che la fiducia digitale non è mai scontata, ma va continuamente verificata e costruita con trasparenza.
Il caso CAcert anticipa molte delle pratiche oggi considerate essenziali nel mondo DevSecOps e nella governance della sicurezza open source: code review aperte, separazione dei ruoli, gestione strutturata delle vulnerabilità e coinvolgimento di esperti esterni.