Archivi categoria: Catena Di Certificazione/Certificate Chain

QuickSSL Premium Di GeoTrust In Offerta Fino A Fine Mese

In un recente post su Sicurezza Digitale avevamo parlato della sicurezza dei certificati SSL di GeoTrust e della vasta gamma di prodotti per la protezione dei siti web disponibile online.

Nella serata di ieri il rivenditore britannico di certificazioni SSL Trustico Online Limited ha twittato sul proprio profilo aziendale una particolare promozione per l’acquisto di un certificato SSL QuickSSL Premium per un anno a 75,00€ IVA inclusa.

L’offerta è disponibile fino al prossimo 30 Novembre e per i primi 10 acquirenti che si completeranno l’ordine sul sito italiano della società.

Utilizzando il buono d’acquisto offerto da Trustico sarà possibile acquistare il prodotto risparmiando oltre 10€ rispetto al prezzo presente sul sito internet (€86,50).

Ecco le principali caratteristiche del certificato SSL in offerta:

Clicca qui per acquistare il prodotto.

Annunci

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, E-Commerce, HTTPS, Recensioni, Sicurezza Connessioni, Sicurezza Mobile

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS

SSL Pulse, Riflettori Puntati Sulle Certificate Chain

Il team di Sicurezza Digitale prosegue la sua attività di indagine sul mondo delle certificazioni SSL analizzando una nuova sezione dello studio SSL Pulse, promosso di recente dal comitato TrustWorthy Internet Movement.

In questo post desideriamo concentrarci sui dati relativi alle “Certificate Chain”, uno dei requisiti più importanti nel poter definire se un certificato SSL e l’Autorità di Certificazione emittente sono credibili o meno.

Tutti i siti web che si occupano di offrire certificati SSL utilizzano lo stesso strumento per dimostrare la propria identità digitale; in questo modo, adoperando un certificato digitale avente il medesimo profilo di massima di quello disposto per la propria clientela, il venditore di certificati SSL mostra il valore di fondo dei prodotti che rende disponibile.

Al fine di generare un legame valido tra un singolo “certificato utente”, emesso come unico per ogni acquirente e relativo dominio da proteggere, e una radice riconosciuta (trust anchor), anche detta Autorità Certificante Radice (Root Certificate Authority, CA), è fondamentale la presenza di una catena di certificati completamente affidabile dal punto di inizio a quello di fine.

La “Gerarchia Di Certificazione” è una struttura di certificati che permette a singoli individui di verificare la credibilità di coloro i quali emettono un certificato SSL. Ogni singola certificazione viene emessa e “firmata” da altri certificati che si posizionano più in alto come classe gerarchica; la validità e l’affidabilità di un certo certificato digitale dipende, quindi, da quelle del certificato che a sua volta le ha firmate.

CA del certificato SSL installato su www.google.it

L’immagine in alto descrive come verificare la Certificate Chainrelativa al certificato SSL installato sul sito italiano di Google. 

In alcuni casi il legame che costituisce una certificazione SSL può risultare interrotto in una o più dei passaggi che la compone; quanto ciò si verifica il sito web che si decide di visitare in modalità protetta (https://) risulterà privo di un certificato SSL attendibile, anche nel caso in cui sullo stesso risultasse correttamente installato un certificato di protezione.

SSL Pulse, all’interno della sua ricerca che ha coinvolto quasi 200 mila siti web tra i più conosciuti al mondo, ha ravvisato quanto l’8% del campione controllato risulta non possedere un certificato SSL con Certificate Chain completa in ogni sua parte (poco meno di 15.000 domini sui circa 200.000 di cui sopra).

Siti web con certificati SSL aventi "Certificate Chain" interrotta (fonte: SSL Pulse, 2012)

Siti web con certificati SSL aventi “Certificate Chain” interrotta (fonte: SSL Pulse, 2012)

Il risultato consiglia, una volta in più, di accertarsi che l’autorità emittente un certificato SSL possegga, a sua volta, un certificato sicuro e riconosciuto, onde evitare di vedere la propria pagina internet con la schermata rossa (su Google Chrome) tanto temuta…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Informazioni Generali, SSL Pulse