Archivi categoria: SSL Pulse

Cifratura SSL, Per “SSL Pulse” 4 Siti Su 10 Insicuri

Su Sicurezza Digitale oggi parliamo dei valori di cifratura dei certificati SSL per siti web. L’inchiesta, condotta all’interno dell’interessante studio “SSL Pulse” del comitato Trustworthy Internet Movement, prende in esame quali sono i valori di criptazione attualmente previsti dai certificati digitali sul web.

Una premessa è quantomeno necessaria: i certificati SSL si differenziano tra loro in base a diverse variabili che li rendono più o meno sicuri. Tra queste specifiche vi è, naturalmente, il livello di criptazione che un certificato SSL installato su un dominio web è in grado di applicare, autonomamente, alle comunicazioni e alle transazioni poste in essere online.

Tra i rivenditori di certificati SSL è possibile trovare 3 diversi valori di criptazione:

  • certificati SSL per connessioni sicure da browser a 40 bit: questa tipologia di certificati SSL è, al giorno d’oggi, piuttosto rara. Particolarmente diffusi in passato, oggi solo una parte residuale di navigatori utilizza questo tipo di interfacce (si vedano, a questo proposito, utenti locati in Paesi mediorientali, centroafricani, ecc.). I siti web che rivolgono la propria offerta di beni e servizi verso questo gruppo di utenti devono necessariamente scegliere certificazioni SSL aventi supporto SGC (Server Gated Cryptography).

  • certificati SSL per connessioni sicure da browser a 128 bit: questi certificati digitali attivano connessioni con protocollo sicuro Secure Socket Layer per il valore di criptazione più diffuso in Rete, pari a 128 bit. Connessioni in HTTPS a 128 Bit sono possibili, ad esempio, da Google Chrome e Mozilla Firefox (si vedano le immagini in basso, utili anche per comprendere come scoprire il valore di criptazione in atto).

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Google Chrome

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Google Chrome

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Mozilla Firefox

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Mozilla Firefox

  • certificati SSL per connessioni sicure da browser a 256 bit: questo genere di connessioni protette non è ancora totalmente diffuso sul web, ma costituisce l’evoluzione dell’SSL a 128 bit. Gli esperti del settore valutano l’applicazione estesa di questo valore di protocollo con la diffusione massiccia di TLS, prevista prossimamente.


Un’Occhiata Ai Dati Di SSL Pulse…

 Come scritto in precedenza, il valore di cifratura misura la sicurezza di un canale di comunicazione, e più precisamente il flusso di dati e informazioni posto in essere da un client (singolo utente della Rete, che si connette ad un sito web per acquistare/trovare informazioni/ecc.) e un server d’arrivo.

E’ noto che sessioni di connessione a valori inferiori a 128 bit non sono sicure, quindi è necessario abituarsi il più possibile a controllare, prima di inserire qualsiasi dato personale e/o bancario all’interno di un form virtuale, il valore numerico di criptazione valido.

SSL Pulse ha riscontrato che il 40% (79.581) dei siti web considerati nello studio, che ha coinvolto quasi 200 mila tra i più importanti siti internet del pianeta, possiede certificati SSL in grado di attivare connessioni protette ad almeno 128 bit.

Certificati SSL Con Valori Di Criptazione Inferiori A 128 Bit

Certificati SSL Con Valori Di Criptazione Inferiori A 128 Bit

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse

SSL Pulse, Riflettori Puntati Sulle Certificate Chain

Il team di Sicurezza Digitale prosegue la sua attività di indagine sul mondo delle certificazioni SSL analizzando una nuova sezione dello studio SSL Pulse, promosso di recente dal comitato TrustWorthy Internet Movement.

In questo post desideriamo concentrarci sui dati relativi alle “Certificate Chain”, uno dei requisiti più importanti nel poter definire se un certificato SSL e l’Autorità di Certificazione emittente sono credibili o meno.

Tutti i siti web che si occupano di offrire certificati SSL utilizzano lo stesso strumento per dimostrare la propria identità digitale; in questo modo, adoperando un certificato digitale avente il medesimo profilo di massima di quello disposto per la propria clientela, il venditore di certificati SSL mostra il valore di fondo dei prodotti che rende disponibile.

Al fine di generare un legame valido tra un singolo “certificato utente”, emesso come unico per ogni acquirente e relativo dominio da proteggere, e una radice riconosciuta (trust anchor), anche detta Autorità Certificante Radice (Root Certificate Authority, CA), è fondamentale la presenza di una catena di certificati completamente affidabile dal punto di inizio a quello di fine.

La “Gerarchia Di Certificazione” è una struttura di certificati che permette a singoli individui di verificare la credibilità di coloro i quali emettono un certificato SSL. Ogni singola certificazione viene emessa e “firmata” da altri certificati che si posizionano più in alto come classe gerarchica; la validità e l’affidabilità di un certo certificato digitale dipende, quindi, da quelle del certificato che a sua volta le ha firmate.

CA del certificato SSL installato su www.google.it

L’immagine in alto descrive come verificare la Certificate Chainrelativa al certificato SSL installato sul sito italiano di Google. 

In alcuni casi il legame che costituisce una certificazione SSL può risultare interrotto in una o più dei passaggi che la compone; quanto ciò si verifica il sito web che si decide di visitare in modalità protetta (https://) risulterà privo di un certificato SSL attendibile, anche nel caso in cui sullo stesso risultasse correttamente installato un certificato di protezione.

SSL Pulse, all’interno della sua ricerca che ha coinvolto quasi 200 mila siti web tra i più conosciuti al mondo, ha ravvisato quanto l’8% del campione controllato risulta non possedere un certificato SSL con Certificate Chain completa in ogni sua parte (poco meno di 15.000 domini sui circa 200.000 di cui sopra).

Siti web con certificati SSL aventi "Certificate Chain" interrotta (fonte: SSL Pulse, 2012)

Siti web con certificati SSL aventi “Certificate Chain” interrotta (fonte: SSL Pulse, 2012)

Il risultato consiglia, una volta in più, di accertarsi che l’autorità emittente un certificato SSL possegga, a sua volta, un certificato sicuro e riconosciuto, onde evitare di vedere la propria pagina internet con la schermata rossa (su Google Chrome) tanto temuta…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Informazioni Generali, SSL Pulse

SSL Pulse, La Sicurezza Del Web Ai Raggi X

Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.

 

L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.

 

Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.

 

Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.

 

Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.

 

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

 

Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.

 

Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.

 

Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:

 

  • verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.

  • analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.

  • combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.

 

Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.

 

In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).

 

In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.

 

Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!

1 Commento

Archiviato in Certificati SSL, Informazioni Generali, SSL Pulse