Archivi tag: certificati ssl 256 bit

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Certificati SSL SGC, Un’Analisi Critica

SGC è l’acronimo utilizzato in tutto il mondo per Server Gated Cryptography, tecnologia tradizionalmente associata alla crittografia dei dati in entrata ed uscita da un server, meglio conosciuta come SSL (Secure Socket Layer).

Nata sulla scia della legge statunitense sull’esportazione di sistemi di criptazione ad alto valore, attuata negli anni ’90 sulla scia della Guerra Fredda, permette a browser di navigazione più datati di connettersi ad un sito web protetto da un certificato SSL di godere di un valore di crittografia a 128 bit invece di quello a 40 bit.

La Server Gated Cryptography ebbe la luce, dapprincipio, come estensione SSL per istituzioni finanziarie, venendo poi garantita anche a Società di altro tipo. La situazione che portò la creazione della SGC cambia nel 2000, quando la legge USA sulle esportazioni venne cambiata aprendo le frontiere all’esportazione di valori a 128 bit (e oltre).

Nello stesso periodo Microsoft realizzò le versioni 5.5 e 5.0.1 SP1 di Internet Explorer che di fatto, attivando connessioni sicure a 128 bit, resero la tipologia di certificazioni SSL con SGC, a detta di molti, inutili. Sul sito del colosso di Redmond sono ancora adesso presenti le istruzioni necessarie per aggiornare Internet Explorer alla crittografia a 128 bit.

Per molti esperti di sicurezza informatica l’utilizzo di certificati SSL con SGC non è, nel 2012 più giustificabile; elenchiamo le principali obiezioni che si fanno strada sulla Rete:

  • il numero di coloro che ad oggi navigano utilizzando una versione di IE 5.x (o inferiore) è estremamente ridotto (si veda la tabella qui sotto, relativa all’adozione di questa versione del browser nel 2008, ultimo anno che ha permesso di quantificare il numero di soggetti adoperanti questo tipo di sistema);

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

Dati mondiali di utilizzo Internet Explorer 5.x Al 2008 (Fonte: W3School.com)

  • acquistare un certificato SSL con SGC potrebbe, paradossalmente, favorire la “pigrizia” (o il disinteresse) di coloro i quali nel corso degli anni hanno sottovalutato l’importanza di aggiornare periodicamente gli strumenti a disposizione sul proprio terminale lavorativo o personale. In definitiva pare che questi browsers non aggiornati potrebbero causare all’intero sistema informatico problemi che vanno ben oltre la semplice criptazione dei dati. Usando uno slogan caro a molti utenti del web “i certificati SSL SGC sponsorizzano un utilizzo irresponsabile della Rete, e per questo il loro acquisto andrebbe evitato da chi ha il potere di cambiare le cose”.

  • il costo delle versioni di certificati SSL con SGC. Nonostante le richieste del mondo virtuale, la scelta di “regalare” questa tecnologia all’interno di un certificato SSL è stata presa solo da poche Autorità di Certificazione. Per quanto riguarda il resto del mercato si tratta di una particolarità che ha ancora un costo, e si tratta di qualcosa di non indifferente.

Attualmente l’Autorità Certificante più importante al mondo che fornisce certificati SSL SGC è Symantec, che sul proprio sito e su quello dei suoi rivenditori e partner permette la scelta di questo tipo di tecnologia per certificati SSL SGC Secure Site, con e senza “barra verde” (Green Bar). Per la cronaca è doveroso sottolineare quanto Symantec non abbia, ad oggi, ancora deciso di donare la Server Gated Cryptography all’emissione di uno qualsiasi dei suoi certificati SSL.

Sicurezza Digitale le posizioni dei critici dei certificati SSL SGC abbastanza condivisibili, anche se crede sia necessario fare un distinguo. I dati sopra riportati, relativi all’uso di browsers di navigazione con capacità di crittazione a 40 bit, sono del tutto chiari ed esaustivi, ma il dubbio è relativo a quanto gli stessi siano riferiti solo a quella parte del mondo, e dell’economia, che defininiamo “sviluppata”, o se prendano in considerazione anche quello che accade in Paesi attualmente sottosviluppati o in piena crescita economica, all’interno dei quali non è ancora sviluppata adeguatamente una cultura della sicurezza digitale.

Visti e considerati i repentini cambiamenti che il versante socio-economico registra giorno dopo giorno c’è da comprendere, usando un eufemismo, da dove verranno i soldi in futuro”, quindi se a fare la “voce grossa” saranno popoli ed imprese dell’attuale parte ricca del nostro Pianeta o se gli sconvolgimenti in atto daranno maggior potere di acquisto a coloro i quali usano ancora versioni di browsers a 40 bit.

Tentare di individuare il trend economico futuro è indubbiamente qualcosa di fondamentale per coloro i quali gestiscono o gestiranno un’attività di commercio elettronico, e per questo motivo la decisione di dotarsi o meno di un certificato SSL con SGC rappresenta qualcosa da non sottovalutare.

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, SGC/Server Gated Cryptography, Sicurezza Connessioni, Sicurezza Mobile