Archivi categoria: EV/Extended Validation

Certificati SSL DV StartSSL, Gratuiti Ma…

StartSSL rappresenta, per molti di coloro i quali si avvicinano per la prima volta al mondo della certificazione SSL e non possono disporre di elevati mezzi finanziari per investire in questo campo, un’alternativa interessante, grazie soprattutto alla possibilità di ottenere, (apparentemente) in maniera gratuita, certificati SSL Domain Validated da installare sul proprio server.

Il principale beneficio di questa CA (colpita da un attacco hacker nel 2011), riconosciuta dalla maggior parte dei browser come attendibile, è giustificato quindi dal costo, che ad una prima occhiata può apparire azzerato, supportando il pensiero di coloro i quali consigliano di non acquistare alcun prodotto brandizzato in quanto perfettamente sostituibile da un certificato di StartSSL. Attenzione! non è tutto oro quel che luccica. Scopriamo insieme il perché di questa nostra affermazione.

Certificati SSL DV StartSSL

In caso di ordine di un certificato SSL “Classe 1” (Domain Validated) da StartSSL il modulo di sottoscrizione richiederà l’inserimento di dati anagrafici relativi ad una persona fisica, soggetto che la Certification Authority riterrà da quel momento in poi responsabile per l’emissione e la relativa veridicità delle informazioni riportate. Questo significa che anche nel caso un certificato SSL emesso da un sottoscrittore fosse in seguito da lui destinato ad una Società nessuna autenticità verrebbe garantita a quest’ultima, persistendo quindi un rapporto unico e diretto tra CA e “richiedente autorizzato”.

I certificati SSL appartenenti a questa categoria possono essere adoperati solo per fini non-commerciali, sono validi solo per 12 mesi, possono avere un solo nome dominio per certificato (nessuna possibilità, quindi, di Wildcard o di multi-dominio) e un solo certificato per nome dominio. La validazione del dominio garantita dai certificati SSL DV StartSSL dura 30 giorni, al termine dei quali il processo di verifica deve essere necessariamente ripetuto nelle medesime modalità iniziali. Qualora il richiedente non rispettasse questa scadenza di revisione StartSSL provvederebbe all’annullamento del certificato in oggetto o, addirittura (nei casi più gravi), alla cancellazione di tutti i certificati SSL emessi da quell’utenza.

Certificati SSL OV E EV StartSSL

Per quanto riguarda queste 2 categorie di certificati SSL emessi da StartSSL il processo di verifica pre-emissione ha un costo dovuto una tantum; il titolare dell’account, una volta superato con successo, potrà richiedere l’emissione di svariati certificati SSL, tutti emessi a nome della medesima Società. StartSSL, nella policy presente sul suo sito web, afferma che qualsiasi comportamento irrispettoso delle regole decise porterebbe alla revoca dei certificati SSL .

Revoca dei certificati SSL StartSSL, Quando Avviene E Cosa Comporta

Ecco le motivazioni che provocano la revoca dei certificati SSL emessi da StartSSL:

  • presenza di una Chiave Privata potenzialmente corrotta;
  • inserimento, nel modulo di sottoscrizione, di informazioni errate e/o ingannevoli;
  • mancato rispetto della policy presente sul sito di StartSSL;
  • mancanza del server dal quale è partita la richiesta per il certificato SSL;
  • richiesta di revoca espressa dal sottoscrittore.

StartSSL prevede, per ogni certificato SSL revocato, il pagamento di una penale di 24,90 USD$. E’ bene segnalare che la revoca anche di uno solo tra i certificati SSL richiesti da un sottoscrittore potrebbe portare, in casi di particolare gravità, alla cancellazione dell’intero registro di certificati presenti all’interno del suo bouquet.

In definitiva, StartSSL resta una delle CA sicuramente più interessanti nel mercato della sicurezza dei siti web, ma all’interno delle pieghe della propria policy nasconde condizioni che possono variare non di poco la scelta sull’affidarsi o meno all’organizzazione in questione in merito alla fornitura di certificati SSL per la sicurezza della propria presenza online.

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL Gratis, Certificati SSL OV, EV/Extended Validation, HTTPS, Sicurezza Connessioni

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

E-Commerce, Scenario Generale Di Costante Crescita

La difficile attualità economica, che presenta quotidianamente aziende in chiusura (chi per fallimento, chi per problematiche interne di diverso tipo), spinge tutti coloro che intendono dare una svolta alla propria vita, anche dal punto di vista professionale, a valutare un “nuovo” modo di guadagnare: l’e-commerce (o “commercio elettronico”).

Gli scambi economici effettuati attraverso la Rete sembrano non soffrire l’”aria pesante” che si respira in ambiti commerciali più tradizionali, e ciò può essere certamente imputato a diversi fattori che rendono lo scenario virtuale d’acquisto più appetibile; tra i principali è il caso di citare la minore incidenza dei costi fissi, l’organizzazione aziendale più snella e la capacità di rispondere, generalmente, più rapidamente alle richieste del proprio mercato di riferimento.

Queste sembrano, in definitiva, le motivazioni che rendono il commercio elettronico d’attualità ed interessante sia per chi vende sia per chi acquista. Il boom registrato in questi ultimi anni, e la notevole richiesta per la registrazione di domini valida anche nel nostro Paese, è un segnale importante di quanto il web possa aiutare la ripresa economica a livello planetario.

E-Commerce Sicuro Vs. E-Commerce A Rischio

La proliferazione di siti dediti al commercio elettronico ha lasciato, inevitabilmente, spazio a soggetti senza scrupoli che, sfruttando l’interesse per questa tipologia di attività commerciale, sempre più “di moda”, e la richiesta crescente per determinate tipologie di prodotti (es. beni tecnologici come telefoni cellulari, computer, ecc.), ha “cavalcato l’onda” per guadagnare in maniera illecita.

Dati personali rubati, carte di credito clonate, e-mail personali tempestate da offerte strambe e incredibilmente pericolose; tutti coloro che intendono servirsi di internet per fare affari debbono prendere in piena considerazione il valore intrinseco della sicurezza, investendo denaro per soluzioni in grado di dare validità alla propria presenza digitale.

Un commerciante virtuale può oltrepassare lo sbarramento naturale della non riconoscibilità propria dell’e-commerce solo comprendendo quanto i suoi interlocutori desiderino potersi fidare delle sue proposte; per questo motivo comprare un certificato SSL è una scelta da non rimandare.

Quali Certificati SSL Fanno Del Bene Al Tuo E-Commerce?

I rivenditori di certificazioni digitali permettono, a tutti gli interessati, di poter scegliere tra più soluzioni diverse, ognuna con caratteristiche che le rendono più o meno interessanti e adeguate.

Symantec, certification authority più conosciuta e apprezzata al mondo, ha nei mesi scorsi espresso con chiarezza il suo punto di vista in relazione alle tipologie di certificati per le quali intende investire in futuro.

La società con sede a Mountain View in California “scarica” i certificati SSL Domain Validation (DV), considerando il sistema di approvazione automatico via e-mail come un requisito in grado di permettere a chiunque (soprattutto in negativo) di ottenere un certificato SSL che renda un sito credibile. In parole povere, quanto può essere credibile una certificazione digitale che non prevede la verifica della Società che lo detiene?

Il colosso americano ha deciso di puntare con decisione sui certificati SSL Organization Validation e Extended Validation, che sopperiscono al difetto di emissione visto precedentemente richiedendo documenti a supporto del rilascio.

Certificati SSL EV In Numeri

Cerchiamo di capire insieme perché un certificato SSL a “validazione estesa” è maggiormente valido di uno che convalida il solo dominio per il quale viene emesso:

  • utilizza il più alto livello di criptazione disponibile, espresso in bit;
  • aumenta il livello di fiducia di chi visita il sito protetto;
  • migliora il livello di sicurezza percepito;
  • genera nuove vendite;
  • testimonia l’identità della Società che l’ha richiesto.
Il sito web Symantec.com protetto da un certificato SSL EV "Extendend Validation" con "barra verde"

Il sito web Symantec.com protetto da un certificato SSL EV “Extendend Validation” con “barra verde”

Se ciò non bastasse, Symantec rende le proprie proposte più appetibili offrendo:

La percezione degli utenti della Rete non lascia alcun dubbio:

  • il 52,25% degli utenti online intervistati durante il mese di Gennaio 2011 afferma di riconoscere a prima vista un certificato SSL EV dagli altri presenti sul mercato;
  • il 59% dichiara di sentirsi più sicuro ad immettere dati personali e di pagamento in occasione di sessioni effettuate su siti sui quali è presente la “barra verde”.

(fonte: indagine Alexa-Netcraft Index Gennaio 2012)

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, EV/Extended Validation, Phishing & Malware, Recensioni, Sicurezza Connessioni

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS

Certificati SSL EV VeriSign – Video

Lascia un commento

Archiviato in Certificati SSL, EV/Extended Validation, HTTPS

Certificazioni SSL EV, Tanto Preziose Quanto Rare

SSL Pulse, all’interno della sua ampia attività di ricerca relativa alla sicurezza online, si è dedicata allo studio della categoria di certificati SSL più avanzata sul mercato, le versioni Extended Validation (EV).

Con l’acronimo EV si indicano tutte quelle certificazioni SSL ad alto livello di sicurezza richiedenti, prima di poter essere emesse, il positivo compimento di un processo di identificazione manuale presieduto dall’Autorità di Certificazione (CA) responsabile del rilascio della stessa, destinato ad identificare e accertare qual’è la società titolare del dominio in questione (“è reale?”, “è affidabile?”, ecc.).

I certificati SSL Extended Validation rappresentano, indubbiamente, l’evoluzione più sorprendente e decisa nel panorama della sicurezza digitale, anche grazie all’introduzione della “green bar” (“barra verde”), visualizzata all’interno delle barre d’indirizzo dei principali browser in uso sul web.

Certificati SSL EV Con Barra Verde

Certificati SSL EV Con Barra Verde

Affinché un certificato SSL EV possa essere emesso le Autorità Certificanti (sarebbe meglio specificare, in realtà, che questo tipo di verifica è posto in essere da Autorità Certificanti attendibili) provvedono a controllare pedissequamente le informazioni societarie (anagrafica, nome del registrar del dominio, ecc.) presenti all’interno della richiesta e quelle contenute sui registri online che riuniscono i dati relativi ai domini registrati, anche detti WHOIS. In Italia il registro più conosciuto ed attendibile per i domini che terminano con la dicitura “.it” è nic.it, mentre per i domini “.com” si consiglia di consultare who.is.

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su Who.Is

Registro WHOIS Su Who.Is

Il team di Sicurezza Digitale, considerata l’esperienza personale di alcuni suoi componenti, intende sottolineare che la tempistica di emissione di questa tipologia di certificati SSL è, indubbiamente, il lato più negativo di un prodotto assolutamente consigliabile a chi intende essere un “numero uno” su Internet, specialmente per quanto concerne l’e-commerce. E’ bene sapere, prima di acquistare una certificazione digitale di questo tipo, che prima di poter essere emessa necessita di più di 7 giorni per la raccolta dei documenti societari da fornire alla CA in questione, visto che gli stessi sono solitamente esaminati con cura minuziosa (e, permetteteci il termine, un certo puntiglio a volte irritante 😉 ). Sempre per esperienza personale, effettuate l’ordine dopo aver controllato sui registri online che il nome dell’organizzazione sia quello che desiderate appaia sulla barra d’indirizzo del certificato, visto che non sono possibili successive modifiche!

Ferma restando la necessità, per chiunque si occupi di e-commerce, di richiedere ed installare un certificato SSL Extended Validation sul server di riferimento, veniamo ai dati resi noti da “Trustworthy Internet Movement”.

Diffusione Delle Certificazioni SSL EV "Barra Verde" (SSL Pulse, 2012)

Diffusione Delle Certificazioni SSL EV “Barra Verde” (SSL Pulse, 2012)

Solo il 7,8(circa 15.000 dei quasi 200.000 domini oggetto di indagine online) risulta possedere un certificato SSL con barra verde, in grado di rispondere in concreto alle necessità di sicurezza sempre più percepite come reali da parte di chi vive giorno dopo giorno di commercio elettronico. E’ lecito attendersi una massiccia introduzione di questa tipologia di certificazioni SSL a partire dai prossimi mesi, anche per via della ferma intenzione delle più rinomate CA relativamente agli investimenti che verranno posti in essere in futuro per la sicurezza digitale.

Lascia un commento

Archiviato in Certificati SSL, EV/Extended Validation, SSL Pulse