Archivi categoria: Certificati SSL

Certificati SSL DV StartSSL, Gratuiti Ma…

StartSSL rappresenta, per molti di coloro i quali si avvicinano per la prima volta al mondo della certificazione SSL e non possono disporre di elevati mezzi finanziari per investire in questo campo, un’alternativa interessante, grazie soprattutto alla possibilità di ottenere, (apparentemente) in maniera gratuita, certificati SSL Domain Validated da installare sul proprio server.

Il principale beneficio di questa CA (colpita da un attacco hacker nel 2011), riconosciuta dalla maggior parte dei browser come attendibile, è giustificato quindi dal costo, che ad una prima occhiata può apparire azzerato, supportando il pensiero di coloro i quali consigliano di non acquistare alcun prodotto brandizzato in quanto perfettamente sostituibile da un certificato di StartSSL. Attenzione! non è tutto oro quel che luccica. Scopriamo insieme il perché di questa nostra affermazione.

Certificati SSL DV StartSSL

In caso di ordine di un certificato SSL “Classe 1” (Domain Validated) da StartSSL il modulo di sottoscrizione richiederà l’inserimento di dati anagrafici relativi ad una persona fisica, soggetto che la Certification Authority riterrà da quel momento in poi responsabile per l’emissione e la relativa veridicità delle informazioni riportate. Questo significa che anche nel caso un certificato SSL emesso da un sottoscrittore fosse in seguito da lui destinato ad una Società nessuna autenticità verrebbe garantita a quest’ultima, persistendo quindi un rapporto unico e diretto tra CA e “richiedente autorizzato”.

I certificati SSL appartenenti a questa categoria possono essere adoperati solo per fini non-commerciali, sono validi solo per 12 mesi, possono avere un solo nome dominio per certificato (nessuna possibilità, quindi, di Wildcard o di multi-dominio) e un solo certificato per nome dominio. La validazione del dominio garantita dai certificati SSL DV StartSSL dura 30 giorni, al termine dei quali il processo di verifica deve essere necessariamente ripetuto nelle medesime modalità iniziali. Qualora il richiedente non rispettasse questa scadenza di revisione StartSSL provvederebbe all’annullamento del certificato in oggetto o, addirittura (nei casi più gravi), alla cancellazione di tutti i certificati SSL emessi da quell’utenza.

Certificati SSL OV E EV StartSSL

Per quanto riguarda queste 2 categorie di certificati SSL emessi da StartSSL il processo di verifica pre-emissione ha un costo dovuto una tantum; il titolare dell’account, una volta superato con successo, potrà richiedere l’emissione di svariati certificati SSL, tutti emessi a nome della medesima Società. StartSSL, nella policy presente sul suo sito web, afferma che qualsiasi comportamento irrispettoso delle regole decise porterebbe alla revoca dei certificati SSL .

Revoca dei certificati SSL StartSSL, Quando Avviene E Cosa Comporta

Ecco le motivazioni che provocano la revoca dei certificati SSL emessi da StartSSL:

  • presenza di una Chiave Privata potenzialmente corrotta;
  • inserimento, nel modulo di sottoscrizione, di informazioni errate e/o ingannevoli;
  • mancato rispetto della policy presente sul sito di StartSSL;
  • mancanza del server dal quale è partita la richiesta per il certificato SSL;
  • richiesta di revoca espressa dal sottoscrittore.

StartSSL prevede, per ogni certificato SSL revocato, il pagamento di una penale di 24,90 USD$. E’ bene segnalare che la revoca anche di uno solo tra i certificati SSL richiesti da un sottoscrittore potrebbe portare, in casi di particolare gravità, alla cancellazione dell’intero registro di certificati presenti all’interno del suo bouquet.

In definitiva, StartSSL resta una delle CA sicuramente più interessanti nel mercato della sicurezza dei siti web, ma all’interno delle pieghe della propria policy nasconde condizioni che possono variare non di poco la scelta sull’affidarsi o meno all’organizzazione in questione in merito alla fornitura di certificati SSL per la sicurezza della propria presenza online.

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL Gratis, Certificati SSL OV, EV/Extended Validation, HTTPS, Sicurezza Connessioni

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Certificati SSL OV E EV, Ecco I Controlli Richiesti

I certificati SSL OV (Organization Validation) e EV (Extended Validation) sono, al contempo, in grado di garantire un maggior livello di credibilità relativamente alla Società che detiene il dominio (grazie al processo di verifica da completare per poter essere emessi) e di richiedere tempi di creazione piuttosto lunghi, in grado di protrarsi nel caso in cui non si prestasse sufficiente attenzione alle richieste che le CA pongono solitamente in essere.

Per iniziare, vediamo quali sono i principali prodotti che rientrano in queste 2 famiglie; per quanto riguarda il gruppo dei certificati SSL OV rientrano:

Al fine di poter essere emessi entro i termini annunciati dalla CA (3-5 giorni lavorativi), tali certificati digitali richiedono:

  1. la iscrizione della Società titolare presso il database nazionale delle Aziende (potrebbe trattarsi sia di una fonte governativa o di una che da quest’ultima ha ricevuto approvazione) o sul sito internazionale “Dun & Bradstreet”, disponibile sia in versione internazionale sia italiana. E’ importante che lo status della Società sia, nei casi previsti qui sopra, raffigurabile come “Attivo”.
  2. la titolarità del dominio per il quale si richiede il certificato in capo alla Società che sta effettuando la richiesta. Questo tipo di informazioni è disponibile presso i registri WHOIS (si veda, a questo proposito, il registro WHOIS per nomi dominio .it, WHOIS per domini .com, WHOIS per domini .net, e via dicendo). E’ fondamentale verificare il nome dell’Organizzazione (deve essere assolutamente identico a quello incluso nel modulo d’ordine), l’indirizzo stradale e il contatto Organizzativo responsabile del dominio stesso.
  3. la presenza di un numero fisso, attribuito all’azienda, verificabile sui registri telefonici riconosciuti (per GeoTrust le fonti ritenute, al momento, attendibili comprendono PagineBianche, PagineGialle, Pagine-Mail, Infobel Italy, RegistroImprese, 1818.com, 892 892, GuidaMonaci, Kompass).

Tra i certificati SSL Extended Validation rientrano invece:

Per questo genere di prodotti la Certification Authority responsabile chiede il rispetto delle seguenti condizioni, da soddisfare prima dell’esecuzione della richiesta o, al massimo, appena dopo il pagamento dell’ordine:

  1. verificare la registrazione della Compagnia che detiene il dominio all’interno del database nazionale per le imprese, edito dal Governo nazionale o approvato da quest’ultimo;
  2. accertarsi che la Società/Organizzazione proprietaria del dominio sia stata fondata almeno 3 anni prima della richiesta per il certificato SSL. Nel caso in cui il periodo intercorso sia minore sarà necessario fornire i dettagli di iscrizione al registro di Duns & Bradstreet o inviare a GeoTrust una lettera bancaria che indichi gli estremi di registrazione della Società stessa;
  3. cercare sul WHOIS di appartenenza (si vedano sopra i dettagli) con quale Denominazione è indicata la Società/Organizzazione che detiene il dominio, l’indirizzo della sede e il contatto Amministrativo di tale registrazione. Sarà importante modificare tutti i dettagli non più validi in maniera tale da poter consentire a GeoTrust di completare positivamente le verifiche richieste per l’emissione del certificato;
  4. avvertire le Risorse Umane o la Direzione della chiamata telefonica che GeoTrust effettuerà per verificare la presenza del contatto Amministrativo in azienda e il ruolo di quest’ultimo all’interno dell’organico. Non sarà difatti sufficiente l’autocertificazione di un semplice impiegato, a meno che lo stesso non sia indicato come Dirigente;
  5. controllare che il numero telefonico inserito nel modulo d’ordine all’interno del contatto Amministrativo sia presente in un registro telefonico online (per sapere quali sono quelli approvati da GeoTrust si prega di verificare le indicazioni fornite al terzo punto del processo di verifica per i certificati SSL OV). Si consiglia l’inserimento di un centralino in grado di smistare le chiamate.
  6. indicare, come Contatto Amministrativo, una persona presente in Azienda per l’intera giornata. In questa maniera sarà più semplice permettere la verifica delle informazioni riportate sull’ordine e, di conseguenza, favorire l’emissione della certificazione SSL nei termini temporali previsti.

Il rispetto delle regole sopra indicate per i 2 gruppi di certificati, seppur del tutto indicative e non ufficialmente confermate dalla CA, sarà in grado di ridurre le tempistiche di emissione previste (3-5 giorni lavorativi per i certificati SSL OV e 7-10 giorni lavorativi per i certificati SSL EV).

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL OV

QuickSSL Premium, GeoTrust Fa Pagare I SANs Richiesti

GeoTrustcertification authority famosa in tutto il mondo e responsabile dell’emissione di alcuni tra i certificati SSL più adottati, ha deciso nelle ultime settimane di far pagare qualsiasi SAN (Subject Alternative Name, anche conosciuto come “sottodominio”) il Cliente decidesse di aggiungere alla propria richiesta.

Il certificato SSL in questione si era finora contraddistinto dalla concorrenza proprio per la sua capacità di riunire alcune particolarità fondamentali per il webmaster (crittazione delle comunicazioni da e verso i dispositivi mobili, possibilità di aggiungere sottodomini e emissione quasi immediata senza verifica dell’identità del richiedente) ad un prezzo molto basso.

La scelta di GeoTrust rende QuickSSL Premium, a nostro parere, meno conveniente e interessante, soprattutto per quei titolari di siti web che utilizzano le proprie pagine professionalmente (aziende di tutte le dimensioni, enti, ecc.).

QuickSSL-Premium-GeoTrust-Fa-Pagare-I-SANs-Richiesti

Facciamo un rapido calcolo, prendendo in esame l’offerta presente sul sito di Trustico, uno dei principali rivenditori di certificati SSL operante anche in Italia.

QuickSSL Premium è ora venduto, senza SANs, al prezzo annuale di 85,80€. Trustico, dato il cambiamento di condizioni di acquisto da GeoTrust, permette al Cliente di aggiungere fino a 4 SANs al costo aggiuntivo di 47,20€, portando il costo complessivo per un anno a €133,00; decisamente molto per un certificato SSL a “validazione del dominio“, non in grado di garantire alcuna verifica del titolare del dominio (abbiamo già discusso in passato di quanto questo requisito sia importante, soprattutto per l’e-commerce).

La situazione “migliora leggermente” in caso di ordini pluriennali: in questo caso il costo dei SANs va moltiplicato per tutti i vari anni considerati, ma come di consueto si registra un piccolo sconto sul costo complessivo.

Dato il prezzo totale al quale viene ora quotato GeoTrust QuickSSL Premium, siamo davvero sicuri che resti una soluzione di sicurezza informatica ancora valida e conveniente, o è forse il caso di spostarsi su certificati di “fascia superiore”, che garantiscono anche un livello differente di informazioni sul browser di navigazione?

2 commenti

Archiviato in Certificati SSL

Google Blocca I Certificati SSL Di TurkTrust

La notizia non appartiene alla categoria delle breaking news ma resta comunque molto interessante: negli scorsi giorni Google ha modificato, all’interno del codice del proprio browser di navigazione Chrome, i parametri di riconoscibilita’ attivi per i certificati SSL.

Non e’ la prima volta che accade qualcosa di questo tipo, ma nel caso dell’Autorita’ di Certificazione TurkTrust (i cui certificati digitali sono stati esclusi da quelli considerati attendibili non solo su Google Chrome, ma anche da parte degli altri principali browser di navigazione) la motivazione di questa scelta sta nella diffusione, da parte della societa’ turca, di certificazioni che riportavano tra le informazioni delle stesse il nome di Google.

Google Blocca I Certificati SSL Di TurkTrust

Google Blocca I Certificati SSL Di TurkTrust

La CA aveva giustificato l’accaduto parlando di una “grave svista” assolutamente non dolosa, ma questo non e’ servito a risolvere la situazione a proprio favore. Google, temendo (come ampiamente prevedibile) che questi certificati SSL potessero essere considerati attendibili dai navigatori, e’ entrata in scena comunicando la propria intenzione di rendere globalmente nota tale situazione, scegliendo di applicare una modifica al proprio browser Chrome e “sospendendo” la richiesta di inclusione della CA all’interno del gruppo di emittenti attendibili.

Google temeva, in particolare, che questi certificati SSL contraffatti potessero essere utilizzati per attacchi di phishing, con ingenti danni anche economici per chi si fosse sfortunatamente fidato di quanto riportato.

Simile approccio nei confronti di questa situazione e’ stato adottato anche dai produttori di Internet Explorer e Mozilla Firefox, che nei giorni a seguire hanno reso disponibili in Rete le patch atte a porre rimedio a quanto creato da TurkTrust.

La vicenda di TurkTrust dimostra, una volta di piu’, quanto sia necessario affidarsi a autorita’ certificanti conosciute e che detengano il certificato SSL subordinato (o intermedio) necessario per porre in essere certificati SSL in serie. Attraverso i certificati SSL intermedi, o root certificates, il detentore puo’ infatti  porre in essere certificazioni Secure Sockets Layer in serie per un numero potenzialmente illimitato di richiedenti.

Lascia un commento

Archiviato in Certificati SSL

QuickSSL Premium Di GeoTrust In Offerta Fino A Fine Mese

In un recente post su Sicurezza Digitale avevamo parlato della sicurezza dei certificati SSL di GeoTrust e della vasta gamma di prodotti per la protezione dei siti web disponibile online.

Nella serata di ieri il rivenditore britannico di certificazioni SSL Trustico Online Limited ha twittato sul proprio profilo aziendale una particolare promozione per l’acquisto di un certificato SSL QuickSSL Premium per un anno a 75,00€ IVA inclusa.

L’offerta è disponibile fino al prossimo 30 Novembre e per i primi 10 acquirenti che si completeranno l’ordine sul sito italiano della società.

Utilizzando il buono d’acquisto offerto da Trustico sarà possibile acquistare il prodotto risparmiando oltre 10€ rispetto al prezzo presente sul sito internet (€86,50).

Ecco le principali caratteristiche del certificato SSL in offerta:

Clicca qui per acquistare il prodotto.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, E-Commerce, HTTPS, Recensioni, Sicurezza Connessioni, Sicurezza Mobile

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

Installare Un Certificato SSL Su IIS 7

Su richiesta di alcuni dei nostri lettori pubblichiamo oggi una rapida guida utile ad installare certificati di sicurezza SSL su server Microsoft IIS, in particolare nella versione 7.

IIS7

In caso di dubbi e/o problemi si consiglia di verificare la procedura d’installazione prevista dal libretto d’installazione del proprio server:

  1. seguire le indicazioni dell’e-mail con la quale è stato ricevuto il certificato SSL da installare, salvando il certificato dall’URL presente nell’e-mail sul desktop;
  2. scegliere il formato PKCS#7 (.p7b);
  3. accedere a “IIS 7 Manager” seguendo il percorso Start –> Strumenti Di Amministrazione –> Internet Information Services (IIS) Manager;
  4. selezionare il proprio server dal pannello;
  5. all’interno della consolle scegliere “Server Certificates”, presente all’interno della cartella “IIS”;
  6. dal pannello “Actions” selezionare “Complete Certificate Request” per accedere al Wizard;
  7. alla prima schermata visualizzata selezionare l’icona “…” e selezionare, dal desktop, il file contenente il certificato SSL (in basso cambiare il formato da *.cer a *.* in modo da poter visualizzare il file da caricare);
  8. selezionare e cliccare su “Open”;
  9. indicare, nel campo “Friendly Name”, il nome che si vuole dare al certificato, quindi cliccare su “OK”. In caso di errore accertarsi che l’installazione in corso sia effettuata sul server sul quale è stato creato precedentemente il CSR;
  10. tornare su “Internet Information Services (IIS) Manager”, selezionare il server sul pannello a sinistra e, da “Sites”, scegliere Default Web Site”. Da qui spostarsi sul lato destro del pannello e cliccare su “Bindings”;
  11. dalla finestra che si visualizzerà cliccare su “Add”, quindi nei campi “Type” scegliere “HTTPS” e in “IP Address” selezionare l’indirizzo IP dal menu a tendina;
  12. in basso, su “SSL Certificate”, selezionare il certificato SSL appena installato e fare “OK”;
  13. selezionare nuovamente la stringa “HTTPS” e cliccare su “Close”.

Lascia un commento

Archiviato in Certificati SSL, HTTPS, Installare Certificati SSL

7 Semplici Regole Di Sicurezza Informatica

  1. Conosci Il Tuo Nemico

    Abituati a cercare informazioni valide ed aggiornate per rimanere al passo con i tempi. Se non conosci il significato di termini quali wormtrojan horsemalwarehoaxbotspyware rivolgiti ad esperti online. Sono svariati i blog che trattano quotidianamente questa tipologia di minacce, e molti di essi permettono di abbonarti ad RSS Feed, consentendoti di leggere le ultime novità del settore via e-mail e/o sul tuo cellulare o smartphone.

  2. Allontana I Virus Dal Tuo PC

    Contrarre un'”infezione virtuale” è molto semplice, data anche la facilità con la quale si scaricano programmi e documenti in Rete. Proteggi il tuo PC con un valido programma antivirus, ricordati di aggiornarne le definizioni ogni giorno (puoi programmare un aggiornamento automatico) e di effettuare scansioni approfondite almeno una volta a settimana. In Rete puoi trovare alleati comodi e, a volte, gratuiti al tuo antivirus, come Microsoft Safety Scanner.

  3. 1 Click (Mancato) Può Salvare Il Tuo Sistema

    Presta attenzione ad ogni singola e-mail ricevuta, in quanto potenzialmente in grado di portare problemi (es. hoax, phishing). Le e-mail fasulle e le “pagine web civetta” (senza HTTPS) sono le principali fonti di crimine informatico in quanto puntano sulla naturalità e automaticità di un gesto, quello di cliccare su una e-mail ricevuta, sull’allegato a questa o sul link che compone il testo. Le truffe informatiche incentrate su lotterie e raccolte fondi sono all’ordine del giorno: stanne lontano!!!

  4. Utilizza Filtri Anti-Spyware

    Il tuo computer potrebbe “impazzire” ed iniziare a compiere azioni indesiderate. Questo può avvenire attraverso la presenza di spywarebot auto-installanti, mediante i quali gli hackers prendono possesso del tuo dispositivo appropriandosi di dati e informazioni personali. Strumenti quali Microsoft Security Essentials evitando che ciò possa accadere, anche se come sempre l’attenzione è il primo ingrediente per navigare tranquilli su internet.

  5. Attenzione A Quello Che Scarichi!

    Scaricare dal web un programma o un file richiede pochissimo tempo, ma un errore compiuto in questi frangenti possono provocare effetti devastanti sul tuo sistema. Scarica ciò che desideri da siti specializzati e conosciuti, e laddove possibile controlla la presenza di un certificato SSL valido.

  6. Licenze E Termini Di Contratto Sono Importanti

    Ricordati i consigli delle nostre mamme, che allertavano dal firmare moduli di adesione in quanto ciò poteva costringerci a rispettare condizioni contrattuali delle quali ignoravamo la presenza, tra le quali l’acquisto di fantomatiche enciclopedie? A distanza di oltre 20 anni, entrati nell’era digitale, possiamo dire che le cose non sono poi così diverse. Può risultare noioso o superfluo, ma leggere attentamente le condizioni di adesione ad un servizio e/o quelle di installazione di un programma rappresenta un’avvertenza tutt’ora estremamente valida.

  7. Scegli Sempre Cosa Installare

    Da piccoli il Natale coincideva, per moltissimi di noi, con l’impazienza nello scartare i regali ricevuti per poterci giocare, senza aspettare di leggere le istruzioni. Così come allora ad ogni installazione di un programma accertati di approvare l’installazione solo di ciò che ti serve davvero, evitando di includere per pigrizia, all’interno del processo, componenti inutili o spesso perfino dannosi per il tuo sistema (toolbars, ecc.). Questi strumenti accessori possono certamente risultare utili o piacevoli, ma quello che ti consigliamo di fare è di valutare preventivamente quanto questi potrebbero servirti prima di installarli.

    Ci sono altri consigli che pensate sia necessario dare?

    consigli-sicurezza-online

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico, Certificati SSL, HTTPS, Informazioni Generali, Phishing & Malware, Privacy, Sicurezza Connessioni

Certificati SSL SGC, Un’Analisi Critica

SGC è l’acronimo utilizzato in tutto il mondo per Server Gated Cryptography, tecnologia tradizionalmente associata alla crittografia dei dati in entrata ed uscita da un server, meglio conosciuta come SSL (Secure Socket Layer).

Nata sulla scia della legge statunitense sull’esportazione di sistemi di criptazione ad alto valore, attuata negli anni ’90 sulla scia della Guerra Fredda, permette a browser di navigazione più datati di connettersi ad un sito web protetto da un certificato SSL di godere di un valore di crittografia a 128 bit invece di quello a 40 bit.

La Server Gated Cryptography ebbe la luce, dapprincipio, come estensione SSL per istituzioni finanziarie, venendo poi garantita anche a Società di altro tipo. La situazione che portò la creazione della SGC cambia nel 2000, quando la legge USA sulle esportazioni venne cambiata aprendo le frontiere all’esportazione di valori a 128 bit (e oltre).

Nello stesso periodo Microsoft realizzò le versioni 5.5 e 5.0.1 SP1 di Internet Explorer che di fatto, attivando connessioni sicure a 128 bit, resero la tipologia di certificazioni SSL con SGC, a detta di molti, inutili. Sul sito del colosso di Redmond sono ancora adesso presenti le istruzioni necessarie per aggiornare Internet Explorer alla crittografia a 128 bit.

Per molti esperti di sicurezza informatica l’utilizzo di certificati SSL con SGC non è, nel 2012 più giustificabile; elenchiamo le principali obiezioni che si fanno strada sulla Rete:

  • il numero di coloro che ad oggi navigano utilizzando una versione di IE 5.x (o inferiore) è estremamente ridotto (si veda la tabella qui sotto, relativa all’adozione di questa versione del browser nel 2008, ultimo anno che ha permesso di quantificare il numero di soggetti adoperanti questo tipo di sistema);

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

  • acquistare un certificato SSL con SGC potrebbe, paradossalmente, favorire la “pigrizia” (o il disinteresse) di coloro i quali nel corso degli anni hanno sottovalutato l’importanza di aggiornare periodicamente gli strumenti a disposizione sul proprio terminale lavorativo o personale. In definitiva pare che questi browsers non aggiornati potrebbero causare all’intero sistema informatico problemi che vanno ben oltre la semplice criptazione dei dati. Usando uno slogan caro a molti utenti del web “i certificati SSL SGC sponsorizzano un utilizzo irresponsabile della Rete, e per questo il loro acquisto andrebbe evitato da chi ha il potere di cambiare le cose”.

  • il costo delle versioni di certificati SSL con SGC. Nonostante le richieste del mondo virtuale, la scelta di “regalare” questa tecnologia all’interno di un certificato SSL è stata presa solo da poche Autorità di Certificazione. Per quanto riguarda il resto del mercato si tratta di una particolarità che ha ancora un costo, e si tratta di qualcosa di non indifferente.

Attualmente l’Autorità Certificante più importante al mondo che fornisce certificati SSL SGC è Symantec, che sul proprio sito e su quello dei suoi rivenditori e partner permette la scelta di questo tipo di tecnologia per certificati SSL SGC Secure Site, con e senza “barra verde” (Green Bar). Per la cronaca è doveroso sottolineare quanto Symantec non abbia, ad oggi, ancora deciso di donare la Server Gated Cryptography all’emissione di uno qualsiasi dei suoi certificati SSL.

Sicurezza Digitale le posizioni dei critici dei certificati SSL SGC abbastanza condivisibili, anche se crede sia necessario fare un distinguo. I dati sopra riportati, relativi all’uso di browsers di navigazione con capacità di crittazione a 40 bit, sono del tutto chiari ed esaustivi, ma il dubbio è relativo a quanto gli stessi siano riferiti solo a quella parte del mondo, e dell’economia, che defininiamo “sviluppata”, o se prendano in considerazione anche quello che accade in Paesi attualmente sottosviluppati o in piena crescita economica, all’interno dei quali non è ancora sviluppata adeguatamente una cultura della sicurezza digitale.

Visti e considerati i repentini cambiamenti che il versante socio-economico registra giorno dopo giorno c’è da comprendere, usando un eufemismo, da dove verranno i soldi in futuro”, quindi se a fare la “voce grossa” saranno popoli ed imprese dell’attuale parte ricca del nostro Pianeta o se gli sconvolgimenti in atto daranno maggior potere di acquisto a coloro i quali usano ancora versioni di browsers a 40 bit.

Tentare di individuare il trend economico futuro è indubbiamente qualcosa di fondamentale per coloro i quali gestiscono o gestiranno un’attività di commercio elettronico, e per questo motivo la decisione di dotarsi o meno di un certificato SSL con SGC rappresenta qualcosa da non sottovalutare.

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, SGC/Server Gated Cryptography, Sicurezza Connessioni, Sicurezza Mobile