Archivi categoria: CSR/Certificate Signing Authority

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni

Generare Un CSR, Pannello Server Per Creare Certificate Signing Request

Generare un CSR, pannello server per creare Certificate Signing Request

Generare un CSR, pannello server per creare Certificate Signing Request

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali

CSR, Cos’è E Come Generarlo

Con il termine CSR (Certificate Signing Request) si intende la richiesta di emissione di una certificazione digitale posta in essere da un server sul quale si intende installare il certificato SSL stesso.

Il CSR è costituito da un blocco unico di caratteri alfanumerici, ad occhio umano incomprensibile, ma che stabilisce univocamente la natura del server ospitante il sito web e indica i particolari che lo costuiscono; vediamo più approfonditamente quali sono le informazioni da inserire per generare un CSR:

  • Codice Paese: si tratta del codice che permette di identificare lo Stato dal quale proviene la richiesta, quindi quello all’interno del quale è presente il server che esprime la richiesta (es. IT);
  • Stato/Provincia: si scende più in dettaglio relativamente alla posizione geografica del server in oggetto (es. Piemonte);
  • Città: si veda la descrizione vista sopra. In questa occasione si citerà la città che ospita il server (es. Torino);
  • Azienda: indicare con precisione il nome della Società che detiene il dominio (es. Sicurezza Digitale);
  • Divisione Aziendale: molto spesso si tratta di un valore generico relativo al gruppo di soggetti che opera abitualmente in ambito informatico all’interno dell’Azienda di cui sopra (es. Security Department);
  • Nome Dominio: si includa il nome dominio completo (Fully Qualified Domain Name, FQDN) per il quale si richiede l’emissione della certificato SSL (es. sicurezza-digitale.com). Si ricordi che, in caso di ordini per certificati SSL Wildcard, il nome del dominio da indicarsi in questo spazio dovrà essere modificato sostituendo al “www” il simbolo dell’asterisco, ad esempio *.sicurezza-domino.com.

Vi sono diversi servizi e provider di certificazioni SSL che permettono la creazione del CSR durante il processo d’ordine, in maniera del tutto gratuita.

Per motivi di sicurezza le Autorità di Certificazione (Certificate Authority, CA) consigliano la produzione di un CSR diverso per ogni emissione di una certificazione digitale e, allo stesso modo, la produzione di un Certificate Signing Request a 2048 bit, livello considerato indispensabile per garantire la sicurezza del certificato SSL che verrà creato ed installato sul server.

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali