Archivi categoria: HTTPS

Certificati SSL DV StartSSL, Gratuiti Ma…

StartSSL rappresenta, per molti di coloro i quali si avvicinano per la prima volta al mondo della certificazione SSL e non possono disporre di elevati mezzi finanziari per investire in questo campo, un’alternativa interessante, grazie soprattutto alla possibilità di ottenere, (apparentemente) in maniera gratuita, certificati SSL Domain Validated da installare sul proprio server.

Il principale beneficio di questa CA (colpita da un attacco hacker nel 2011), riconosciuta dalla maggior parte dei browser come attendibile, è giustificato quindi dal costo, che ad una prima occhiata può apparire azzerato, supportando il pensiero di coloro i quali consigliano di non acquistare alcun prodotto brandizzato in quanto perfettamente sostituibile da un certificato di StartSSL. Attenzione! non è tutto oro quel che luccica. Scopriamo insieme il perché di questa nostra affermazione.

Certificati SSL DV StartSSL

In caso di ordine di un certificato SSL “Classe 1” (Domain Validated) da StartSSL il modulo di sottoscrizione richiederà l’inserimento di dati anagrafici relativi ad una persona fisica, soggetto che la Certification Authority riterrà da quel momento in poi responsabile per l’emissione e la relativa veridicità delle informazioni riportate. Questo significa che anche nel caso un certificato SSL emesso da un sottoscrittore fosse in seguito da lui destinato ad una Società nessuna autenticità verrebbe garantita a quest’ultima, persistendo quindi un rapporto unico e diretto tra CA e “richiedente autorizzato”.

I certificati SSL appartenenti a questa categoria possono essere adoperati solo per fini non-commerciali, sono validi solo per 12 mesi, possono avere un solo nome dominio per certificato (nessuna possibilità, quindi, di Wildcard o di multi-dominio) e un solo certificato per nome dominio. La validazione del dominio garantita dai certificati SSL DV StartSSL dura 30 giorni, al termine dei quali il processo di verifica deve essere necessariamente ripetuto nelle medesime modalità iniziali. Qualora il richiedente non rispettasse questa scadenza di revisione StartSSL provvederebbe all’annullamento del certificato in oggetto o, addirittura (nei casi più gravi), alla cancellazione di tutti i certificati SSL emessi da quell’utenza.

Certificati SSL OV E EV StartSSL

Per quanto riguarda queste 2 categorie di certificati SSL emessi da StartSSL il processo di verifica pre-emissione ha un costo dovuto una tantum; il titolare dell’account, una volta superato con successo, potrà richiedere l’emissione di svariati certificati SSL, tutti emessi a nome della medesima Società. StartSSL, nella policy presente sul suo sito web, afferma che qualsiasi comportamento irrispettoso delle regole decise porterebbe alla revoca dei certificati SSL .

Revoca dei certificati SSL StartSSL, Quando Avviene E Cosa Comporta

Ecco le motivazioni che provocano la revoca dei certificati SSL emessi da StartSSL:

  • presenza di una Chiave Privata potenzialmente corrotta;
  • inserimento, nel modulo di sottoscrizione, di informazioni errate e/o ingannevoli;
  • mancato rispetto della policy presente sul sito di StartSSL;
  • mancanza del server dal quale è partita la richiesta per il certificato SSL;
  • richiesta di revoca espressa dal sottoscrittore.

StartSSL prevede, per ogni certificato SSL revocato, il pagamento di una penale di 24,90 USD$. E’ bene segnalare che la revoca anche di uno solo tra i certificati SSL richiesti da un sottoscrittore potrebbe portare, in casi di particolare gravità, alla cancellazione dell’intero registro di certificati presenti all’interno del suo bouquet.

In definitiva, StartSSL resta una delle CA sicuramente più interessanti nel mercato della sicurezza dei siti web, ma all’interno delle pieghe della propria policy nasconde condizioni che possono variare non di poco la scelta sull’affidarsi o meno all’organizzazione in questione in merito alla fornitura di certificati SSL per la sicurezza della propria presenza online.

Annunci

2 commenti

Archiviato in Certificati SSL, Certificati SSL EV, Certificati SSL Gratis, Certificati SSL OV, EV/Extended Validation, HTTPS, Sicurezza Connessioni

QuickSSL Premium Di GeoTrust In Offerta Fino A Fine Mese

In un recente post su Sicurezza Digitale avevamo parlato della sicurezza dei certificati SSL di GeoTrust e della vasta gamma di prodotti per la protezione dei siti web disponibile online.

Nella serata di ieri il rivenditore britannico di certificazioni SSL Trustico Online Limited ha twittato sul proprio profilo aziendale una particolare promozione per l’acquisto di un certificato SSL QuickSSL Premium per un anno a 75,00€ IVA inclusa.

L’offerta è disponibile fino al prossimo 30 Novembre e per i primi 10 acquirenti che si completeranno l’ordine sul sito italiano della società.

Utilizzando il buono d’acquisto offerto da Trustico sarà possibile acquistare il prodotto risparmiando oltre 10€ rispetto al prezzo presente sul sito internet (€86,50).

Ecco le principali caratteristiche del certificato SSL in offerta:

Clicca qui per acquistare il prodotto.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, E-Commerce, HTTPS, Recensioni, Sicurezza Connessioni, Sicurezza Mobile

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

Installare Un Certificato SSL Su IIS 7

Su richiesta di alcuni dei nostri lettori pubblichiamo oggi una rapida guida utile ad installare certificati di sicurezza SSL su server Microsoft IIS, in particolare nella versione 7.

IIS7

In caso di dubbi e/o problemi si consiglia di verificare la procedura d’installazione prevista dal libretto d’installazione del proprio server:

  1. seguire le indicazioni dell’e-mail con la quale è stato ricevuto il certificato SSL da installare, salvando il certificato dall’URL presente nell’e-mail sul desktop;
  2. scegliere il formato PKCS#7 (.p7b);
  3. accedere a “IIS 7 Manager” seguendo il percorso Start –> Strumenti Di Amministrazione –> Internet Information Services (IIS) Manager;
  4. selezionare il proprio server dal pannello;
  5. all’interno della consolle scegliere “Server Certificates”, presente all’interno della cartella “IIS”;
  6. dal pannello “Actions” selezionare “Complete Certificate Request” per accedere al Wizard;
  7. alla prima schermata visualizzata selezionare l’icona “…” e selezionare, dal desktop, il file contenente il certificato SSL (in basso cambiare il formato da *.cer a *.* in modo da poter visualizzare il file da caricare);
  8. selezionare e cliccare su “Open”;
  9. indicare, nel campo “Friendly Name”, il nome che si vuole dare al certificato, quindi cliccare su “OK”. In caso di errore accertarsi che l’installazione in corso sia effettuata sul server sul quale è stato creato precedentemente il CSR;
  10. tornare su “Internet Information Services (IIS) Manager”, selezionare il server sul pannello a sinistra e, da “Sites”, scegliere Default Web Site”. Da qui spostarsi sul lato destro del pannello e cliccare su “Bindings”;
  11. dalla finestra che si visualizzerà cliccare su “Add”, quindi nei campi “Type” scegliere “HTTPS” e in “IP Address” selezionare l’indirizzo IP dal menu a tendina;
  12. in basso, su “SSL Certificate”, selezionare il certificato SSL appena installato e fare “OK”;
  13. selezionare nuovamente la stringa “HTTPS” e cliccare su “Close”.

Lascia un commento

Archiviato in Certificati SSL, HTTPS, Installare Certificati SSL

7 Semplici Regole Di Sicurezza Informatica

  1. Conosci Il Tuo Nemico

    Abituati a cercare informazioni valide ed aggiornate per rimanere al passo con i tempi. Se non conosci il significato di termini quali wormtrojan horsemalwarehoaxbotspyware rivolgiti ad esperti online. Sono svariati i blog che trattano quotidianamente questa tipologia di minacce, e molti di essi permettono di abbonarti ad RSS Feed, consentendoti di leggere le ultime novità del settore via e-mail e/o sul tuo cellulare o smartphone.

  2. Allontana I Virus Dal Tuo PC

    Contrarre un'”infezione virtuale” è molto semplice, data anche la facilità con la quale si scaricano programmi e documenti in Rete. Proteggi il tuo PC con un valido programma antivirus, ricordati di aggiornarne le definizioni ogni giorno (puoi programmare un aggiornamento automatico) e di effettuare scansioni approfondite almeno una volta a settimana. In Rete puoi trovare alleati comodi e, a volte, gratuiti al tuo antivirus, come Microsoft Safety Scanner.

  3. 1 Click (Mancato) Può Salvare Il Tuo Sistema

    Presta attenzione ad ogni singola e-mail ricevuta, in quanto potenzialmente in grado di portare problemi (es. hoax, phishing). Le e-mail fasulle e le “pagine web civetta” (senza HTTPS) sono le principali fonti di crimine informatico in quanto puntano sulla naturalità e automaticità di un gesto, quello di cliccare su una e-mail ricevuta, sull’allegato a questa o sul link che compone il testo. Le truffe informatiche incentrate su lotterie e raccolte fondi sono all’ordine del giorno: stanne lontano!!!

  4. Utilizza Filtri Anti-Spyware

    Il tuo computer potrebbe “impazzire” ed iniziare a compiere azioni indesiderate. Questo può avvenire attraverso la presenza di spywarebot auto-installanti, mediante i quali gli hackers prendono possesso del tuo dispositivo appropriandosi di dati e informazioni personali. Strumenti quali Microsoft Security Essentials evitando che ciò possa accadere, anche se come sempre l’attenzione è il primo ingrediente per navigare tranquilli su internet.

  5. Attenzione A Quello Che Scarichi!

    Scaricare dal web un programma o un file richiede pochissimo tempo, ma un errore compiuto in questi frangenti possono provocare effetti devastanti sul tuo sistema. Scarica ciò che desideri da siti specializzati e conosciuti, e laddove possibile controlla la presenza di un certificato SSL valido.

  6. Licenze E Termini Di Contratto Sono Importanti

    Ricordati i consigli delle nostre mamme, che allertavano dal firmare moduli di adesione in quanto ciò poteva costringerci a rispettare condizioni contrattuali delle quali ignoravamo la presenza, tra le quali l’acquisto di fantomatiche enciclopedie? A distanza di oltre 20 anni, entrati nell’era digitale, possiamo dire che le cose non sono poi così diverse. Può risultare noioso o superfluo, ma leggere attentamente le condizioni di adesione ad un servizio e/o quelle di installazione di un programma rappresenta un’avvertenza tutt’ora estremamente valida.

  7. Scegli Sempre Cosa Installare

    Da piccoli il Natale coincideva, per moltissimi di noi, con l’impazienza nello scartare i regali ricevuti per poterci giocare, senza aspettare di leggere le istruzioni. Così come allora ad ogni installazione di un programma accertati di approvare l’installazione solo di ciò che ti serve davvero, evitando di includere per pigrizia, all’interno del processo, componenti inutili o spesso perfino dannosi per il tuo sistema (toolbars, ecc.). Questi strumenti accessori possono certamente risultare utili o piacevoli, ma quello che ti consigliamo di fare è di valutare preventivamente quanto questi potrebbero servirti prima di installarli.

    Ci sono altri consigli che pensate sia necessario dare?

    consigli-sicurezza-online

Lascia un commento

Archiviato in Attacchi Informatici/Crimine Informatico, Certificati SSL, HTTPS, Informazioni Generali, Phishing & Malware, Privacy, Sicurezza Connessioni

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS