Archivi categoria: Informazioni Generali

Generare Un CSR, Pannello Server Per Creare Certificate Signing Request

Generare un CSR, pannello server per creare Certificate Signing Request

Generare un CSR, pannello server per creare Certificate Signing Request

Annunci

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali

CSR, Cos’è E Come Generarlo

Con il termine CSR (Certificate Signing Request) si intende la richiesta di emissione di una certificazione digitale posta in essere da un server sul quale si intende installare il certificato SSL stesso.

Il CSR è costituito da un blocco unico di caratteri alfanumerici, ad occhio umano incomprensibile, ma che stabilisce univocamente la natura del server ospitante il sito web e indica i particolari che lo costuiscono; vediamo più approfonditamente quali sono le informazioni da inserire per generare un CSR:

  • Codice Paese: si tratta del codice che permette di identificare lo Stato dal quale proviene la richiesta, quindi quello all’interno del quale è presente il server che esprime la richiesta (es. IT);
  • Stato/Provincia: si scende più in dettaglio relativamente alla posizione geografica del server in oggetto (es. Piemonte);
  • Città: si veda la descrizione vista sopra. In questa occasione si citerà la città che ospita il server (es. Torino);
  • Azienda: indicare con precisione il nome della Società che detiene il dominio (es. Sicurezza Digitale);
  • Divisione Aziendale: molto spesso si tratta di un valore generico relativo al gruppo di soggetti che opera abitualmente in ambito informatico all’interno dell’Azienda di cui sopra (es. Security Department);
  • Nome Dominio: si includa il nome dominio completo (Fully Qualified Domain Name, FQDN) per il quale si richiede l’emissione della certificato SSL (es. sicurezza-digitale.com). Si ricordi che, in caso di ordini per certificati SSL Wildcard, il nome del dominio da indicarsi in questo spazio dovrà essere modificato sostituendo al “www” il simbolo dell’asterisco, ad esempio *.sicurezza-domino.com.

Vi sono diversi servizi e provider di certificazioni SSL che permettono la creazione del CSR durante il processo d’ordine, in maniera del tutto gratuita.

Per motivi di sicurezza le Autorità di Certificazione (Certificate Authority, CA) consigliano la produzione di un CSR diverso per ogni emissione di una certificazione digitale e, allo stesso modo, la produzione di un Certificate Signing Request a 2048 bit, livello considerato indispensabile per garantire la sicurezza del certificato SSL che verrà creato ed installato sul server.

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali

Se Hai Terminato Di Usare Il PC Fai Log Out E Spegnilo! – Video

Lascia un commento

Archiviato in Informazioni Generali, Privacy, Sicurezza Connessioni

Certificati SSL, Come Funzionano – Video

Lascia un commento

Archiviato in Certificati SSL, Informazioni Generali

SSL Pulse, Riflettori Puntati Sulle Certificate Chain

Il team di Sicurezza Digitale prosegue la sua attività di indagine sul mondo delle certificazioni SSL analizzando una nuova sezione dello studio SSL Pulse, promosso di recente dal comitato TrustWorthy Internet Movement.

In questo post desideriamo concentrarci sui dati relativi alle “Certificate Chain”, uno dei requisiti più importanti nel poter definire se un certificato SSL e l’Autorità di Certificazione emittente sono credibili o meno.

Tutti i siti web che si occupano di offrire certificati SSL utilizzano lo stesso strumento per dimostrare la propria identità digitale; in questo modo, adoperando un certificato digitale avente il medesimo profilo di massima di quello disposto per la propria clientela, il venditore di certificati SSL mostra il valore di fondo dei prodotti che rende disponibile.

Al fine di generare un legame valido tra un singolo “certificato utente”, emesso come unico per ogni acquirente e relativo dominio da proteggere, e una radice riconosciuta (trust anchor), anche detta Autorità Certificante Radice (Root Certificate Authority, CA), è fondamentale la presenza di una catena di certificati completamente affidabile dal punto di inizio a quello di fine.

La “Gerarchia Di Certificazione” è una struttura di certificati che permette a singoli individui di verificare la credibilità di coloro i quali emettono un certificato SSL. Ogni singola certificazione viene emessa e “firmata” da altri certificati che si posizionano più in alto come classe gerarchica; la validità e l’affidabilità di un certo certificato digitale dipende, quindi, da quelle del certificato che a sua volta le ha firmate.

CA del certificato SSL installato su www.google.it

L’immagine in alto descrive come verificare la Certificate Chainrelativa al certificato SSL installato sul sito italiano di Google. 

In alcuni casi il legame che costituisce una certificazione SSL può risultare interrotto in una o più dei passaggi che la compone; quanto ciò si verifica il sito web che si decide di visitare in modalità protetta (https://) risulterà privo di un certificato SSL attendibile, anche nel caso in cui sullo stesso risultasse correttamente installato un certificato di protezione.

SSL Pulse, all’interno della sua ricerca che ha coinvolto quasi 200 mila siti web tra i più conosciuti al mondo, ha ravvisato quanto l’8% del campione controllato risulta non possedere un certificato SSL con Certificate Chain completa in ogni sua parte (poco meno di 15.000 domini sui circa 200.000 di cui sopra).

Siti web con certificati SSL aventi "Certificate Chain" interrotta (fonte: SSL Pulse, 2012)

Siti web con certificati SSL aventi “Certificate Chain” interrotta (fonte: SSL Pulse, 2012)

Il risultato consiglia, una volta in più, di accertarsi che l’autorità emittente un certificato SSL possegga, a sua volta, un certificato sicuro e riconosciuto, onde evitare di vedere la propria pagina internet con la schermata rossa (su Google Chrome) tanto temuta…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Informazioni Generali, SSL Pulse

SSL Pulse, La Sicurezza Del Web Ai Raggi X

Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.

 

L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.

 

Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.

 

Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.

 

Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.

 

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

 

Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.

 

Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.

 

Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:

 

  • verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.

  • analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.

  • combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.

 

Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.

 

In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).

 

In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.

 

Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!

1 Commento

Archiviato in Certificati SSL, Informazioni Generali, SSL Pulse

Certificati SSL, Attenzione Alle Autorità Emittenti!

Acquistare un certificato SSL è molto semplice, e in Rete le offerte per proteggere il proprio dominio dagli attacchi dei pirati informatici sono numerose e, spesso, allo stesso modo convenienti. Se il livello di criptazione garantito è oggigiorno pari ad almeno 128 bit per qualsiasi soluzione, quello che contraddistingue una certificazione SSL da un’altra è l’autorità che provvede all’emissione.

Su internet sono pochi coloro che si soffermano su questo argomento, e quei pochi che lo fanno si limitano a dire che le certificazioni SSL offerte da questa o quella società online sono “sicure” ed “inespugnabili”. E’ facile competere sui prezzi e sulle caratteristiche aggiuntive, mentre è più impegnativo impostare il confronto su caratteristiche tecniche inconsapevolmente ignorate dagli acquirenti.

I certificati SSL si dividono, oltre che per marchio, caratteristiche aggiuntive e prezzi, anche in base all’autorità che si pone quale certificante la loro emissione. A questo scopo è necessario differenziare tra certificati SSL emessi da Autorità proprietarie di ogni suo singolo livello e certificazioni emesse da Società che pagano autorità di certificazione per emettere i propri certificati.

I fornitori di certificati SSL della prima tipologia, che hanno ottenuto il loro inserimento all’interno delle liste di garanzia (Trusted Root Libraries) dei più importanti browser di navigazione, si configurano come soggetti seri e dei quali “ci si può fidare ad occhi chiusi” all’atto della richiesta di una certificazione SSL.

Ecco come capire se un certificato SSL è emesso da un’Autorità di Certificazione riconosciuta dai motori di ricerca, se detiene gerarchicamente tutta la catena che lo costituisce, quindi se si tratta di una soluzione affidabile che merita di essere acquistata senza alcun dubbio; tale verifica è stata effettuata su Google Chrome, ma può essere comodamente condotta su qualsiasi tipologia di programma per la navigazione web:

1)   digitare l’indirizzo del sito web protetto da un certificato SSL, facendo precedere lo stesso dalla dicitura https://

 2)   cliccare sul simbolo del lucchetto di sicurezza (o sulla barra riportante il nome della Società certificata, come accade nel caso dei prodotti EV Extended Validation); apparirà una piccola finestra riportante informazioni relative al certificato SSL installato;

 3)   all’interno della prima mini-scheda cliccare sulle Informazioni Certificato; la finestra che si visualizzerà in centro pagina in alto riporterà tutti i dati relativi al certificato installato. Sarà così possibile notare qual è l’Autorità di Certificazione emittente e responsabile.

 

Ecco una schermata con la quale abbiamo verificato il certificato rilasciato a Google Italia.

Certificati SSL Chained, Come Verificare Su Google Chrome

Certificati SSL Chained, Come Verificare Su Google Chrome

Quasi superfluo dire che è assolutamente consigliato acquistare certificati SSL che vantano, come Autorità di Certificazione, una delle più conosciute e rispettate nel settore, come Symantec™, VeriSign®, GeoTrust®, Thawte®.

Lascia un commento

Archiviato in Certificati SSL, Informazioni Generali