Archivi tag: certificati SSL EV

AffirmTrust, Erano Solo Promesse?

Il team di Sicurezza Digitale è costantemente alla ricerca di nuove opportunità ed iniziative da segnalare ai lettori del blog, e nel corso degli ultimi giorni ci siamo imbattuti in un notevole numero di notizie relative a AffirmTrust, fornitore di certificati SSL che qualche mese fa aveva promesso di sparigliare le carte della crittografia offrendo gratuitamente certificati SSL Domain Validation (DV, con i quali si certifica solamente il dominio per il quale il certificato SSL viene emesso e non la Società che lo detiene) pienamente riconosciuti dai browsers di navigazione.

certificato-ssl-affirmtrust-seal

Il primo contatto con AffirmTrust, avvenuto un anno fa all’incirca, ci aveva decisamente stupito: la società americana, fondata da ex dipendenti di GeoTrust, non solo prometteva di regalare fino alla fine del 2011 innumerevoli certificazioni SSL senza alcun costo per il cliente finale, ma affermava di poter garantire certificati SSL Extended Validation (EV, con “barra verde”, richiedenti documenti per la verifica della società che detiene il sito web in questione) a prezzi davvero irrisori, prossimi ai $75!

Al fine di poter testare la serietà del servizio offerto decidemmo, quindi, di “metterci in coda” per ottenere un certificato SSL DV gratuito (date le caratteristiche tecniche lo stesso avrebbe potuto essere assimilato, per molti versi, a GeoTrust QuickSSL Premium) e, dopo aver inserito il nostro indirizzo e-mail e ricevuto conferma di gestione della pratica, non abbiamo ricevuto più alcuna notizia…

Ulteriori indagini sul web hanno dimostrato quanto segue:

  • a fine giugno 2012 AffirmTrust è stata acquisita, per una cifra imprecisata, dalla giapponese Trend Micro Inc.;
  • le pagine Facebook e Twitter della società appaiono abbandonate già da diversi mesi;
  • AffirmTrust aveva già iniziato a contattare via internet il supporto tecnico di numerosi browser online (Chrome, Firefox, ecc.) chiedendo l’inclusione della sua radice di certificazione all’interno del registro di CA riconosciute, in maniera tale da permettere ai certificati SSL emessi di essere riconosciuti come validi online.

Da quanto traspare è possibile affermare che un progetto interessante e, per certi sensi, rivoluzionario come quello di AffirmTrust sia stato abortito (sarebbe meglio dire soppresso nell’incubatrice…) prima che potesse davvero rappresentare una reale minaccia nei confronti delle Certification Authority presenti in Rete.

Altre iniziative di questo tipo hanno avuto, nel corso del tempo, discreto successo (basti citare il caso di StartSSL), mentre resta preferita dalla stragrande maggioranza dei webmaster la possibilità di acquistare, spesso a prezzi non eccessivi, certificati SSL emessi da CA storicamente riconosciute a livello mondiale.

Annunci

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, Certificati SSL Gratis, CSR/Certificate Signing Authority, EV/Extended Validation, HTTPS

E-Commerce, Scenario Generale Di Costante Crescita

La difficile attualità economica, che presenta quotidianamente aziende in chiusura (chi per fallimento, chi per problematiche interne di diverso tipo), spinge tutti coloro che intendono dare una svolta alla propria vita, anche dal punto di vista professionale, a valutare un “nuovo” modo di guadagnare: l’e-commerce (o “commercio elettronico”).

Gli scambi economici effettuati attraverso la Rete sembrano non soffrire l’”aria pesante” che si respira in ambiti commerciali più tradizionali, e ciò può essere certamente imputato a diversi fattori che rendono lo scenario virtuale d’acquisto più appetibile; tra i principali è il caso di citare la minore incidenza dei costi fissi, l’organizzazione aziendale più snella e la capacità di rispondere, generalmente, più rapidamente alle richieste del proprio mercato di riferimento.

Queste sembrano, in definitiva, le motivazioni che rendono il commercio elettronico d’attualità ed interessante sia per chi vende sia per chi acquista. Il boom registrato in questi ultimi anni, e la notevole richiesta per la registrazione di domini valida anche nel nostro Paese, è un segnale importante di quanto il web possa aiutare la ripresa economica a livello planetario.

E-Commerce Sicuro Vs. E-Commerce A Rischio

La proliferazione di siti dediti al commercio elettronico ha lasciato, inevitabilmente, spazio a soggetti senza scrupoli che, sfruttando l’interesse per questa tipologia di attività commerciale, sempre più “di moda”, e la richiesta crescente per determinate tipologie di prodotti (es. beni tecnologici come telefoni cellulari, computer, ecc.), ha “cavalcato l’onda” per guadagnare in maniera illecita.

Dati personali rubati, carte di credito clonate, e-mail personali tempestate da offerte strambe e incredibilmente pericolose; tutti coloro che intendono servirsi di internet per fare affari debbono prendere in piena considerazione il valore intrinseco della sicurezza, investendo denaro per soluzioni in grado di dare validità alla propria presenza digitale.

Un commerciante virtuale può oltrepassare lo sbarramento naturale della non riconoscibilità propria dell’e-commerce solo comprendendo quanto i suoi interlocutori desiderino potersi fidare delle sue proposte; per questo motivo comprare un certificato SSL è una scelta da non rimandare.

Quali Certificati SSL Fanno Del Bene Al Tuo E-Commerce?

I rivenditori di certificazioni digitali permettono, a tutti gli interessati, di poter scegliere tra più soluzioni diverse, ognuna con caratteristiche che le rendono più o meno interessanti e adeguate.

Symantec, certification authority più conosciuta e apprezzata al mondo, ha nei mesi scorsi espresso con chiarezza il suo punto di vista in relazione alle tipologie di certificati per le quali intende investire in futuro.

La società con sede a Mountain View in California “scarica” i certificati SSL Domain Validation (DV), considerando il sistema di approvazione automatico via e-mail come un requisito in grado di permettere a chiunque (soprattutto in negativo) di ottenere un certificato SSL che renda un sito credibile. In parole povere, quanto può essere credibile una certificazione digitale che non prevede la verifica della Società che lo detiene?

Il colosso americano ha deciso di puntare con decisione sui certificati SSL Organization Validation e Extended Validation, che sopperiscono al difetto di emissione visto precedentemente richiedendo documenti a supporto del rilascio.

Certificati SSL EV In Numeri

Cerchiamo di capire insieme perché un certificato SSL a “validazione estesa” è maggiormente valido di uno che convalida il solo dominio per il quale viene emesso:

  • utilizza il più alto livello di criptazione disponibile, espresso in bit;
  • aumenta il livello di fiducia di chi visita il sito protetto;
  • migliora il livello di sicurezza percepito;
  • genera nuove vendite;
  • testimonia l’identità della Società che l’ha richiesto.
Il sito web Symantec.com protetto da un certificato SSL EV "Extendend Validation" con "barra verde"

Il sito web Symantec.com protetto da un certificato SSL EV “Extendend Validation” con “barra verde”

Se ciò non bastasse, Symantec rende le proprie proposte più appetibili offrendo:

La percezione degli utenti della Rete non lascia alcun dubbio:

  • il 52,25% degli utenti online intervistati durante il mese di Gennaio 2011 afferma di riconoscere a prima vista un certificato SSL EV dagli altri presenti sul mercato;
  • il 59% dichiara di sentirsi più sicuro ad immettere dati personali e di pagamento in occasione di sessioni effettuate su siti sui quali è presente la “barra verde”.

(fonte: indagine Alexa-Netcraft Index Gennaio 2012)

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, EV/Extended Validation, Phishing & Malware, Recensioni, Sicurezza Connessioni

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS

Certificati SSL EV VeriSign – Video

Lascia un commento

Archiviato in Certificati SSL, EV/Extended Validation, HTTPS

Certificazioni SSL EV, Tanto Preziose Quanto Rare

SSL Pulse, all’interno della sua ampia attività di ricerca relativa alla sicurezza online, si è dedicata allo studio della categoria di certificati SSL più avanzata sul mercato, le versioni Extended Validation (EV).

Con l’acronimo EV si indicano tutte quelle certificazioni SSL ad alto livello di sicurezza richiedenti, prima di poter essere emesse, il positivo compimento di un processo di identificazione manuale presieduto dall’Autorità di Certificazione (CA) responsabile del rilascio della stessa, destinato ad identificare e accertare qual’è la società titolare del dominio in questione (“è reale?”, “è affidabile?”, ecc.).

I certificati SSL Extended Validation rappresentano, indubbiamente, l’evoluzione più sorprendente e decisa nel panorama della sicurezza digitale, anche grazie all’introduzione della “green bar” (“barra verde”), visualizzata all’interno delle barre d’indirizzo dei principali browser in uso sul web.

Certificati SSL EV Con Barra Verde

Certificati SSL EV Con Barra Verde

Affinché un certificato SSL EV possa essere emesso le Autorità Certificanti (sarebbe meglio specificare, in realtà, che questo tipo di verifica è posto in essere da Autorità Certificanti attendibili) provvedono a controllare pedissequamente le informazioni societarie (anagrafica, nome del registrar del dominio, ecc.) presenti all’interno della richiesta e quelle contenute sui registri online che riuniscono i dati relativi ai domini registrati, anche detti WHOIS. In Italia il registro più conosciuto ed attendibile per i domini che terminano con la dicitura “.it” è nic.it, mentre per i domini “.com” si consiglia di consultare who.is.

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su Who.Is

Registro WHOIS Su Who.Is

Il team di Sicurezza Digitale, considerata l’esperienza personale di alcuni suoi componenti, intende sottolineare che la tempistica di emissione di questa tipologia di certificati SSL è, indubbiamente, il lato più negativo di un prodotto assolutamente consigliabile a chi intende essere un “numero uno” su Internet, specialmente per quanto concerne l’e-commerce. E’ bene sapere, prima di acquistare una certificazione digitale di questo tipo, che prima di poter essere emessa necessita di più di 7 giorni per la raccolta dei documenti societari da fornire alla CA in questione, visto che gli stessi sono solitamente esaminati con cura minuziosa (e, permetteteci il termine, un certo puntiglio a volte irritante 😉 ). Sempre per esperienza personale, effettuate l’ordine dopo aver controllato sui registri online che il nome dell’organizzazione sia quello che desiderate appaia sulla barra d’indirizzo del certificato, visto che non sono possibili successive modifiche!

Ferma restando la necessità, per chiunque si occupi di e-commerce, di richiedere ed installare un certificato SSL Extended Validation sul server di riferimento, veniamo ai dati resi noti da “Trustworthy Internet Movement”.

Diffusione Delle Certificazioni SSL EV "Barra Verde" (SSL Pulse, 2012)

Diffusione Delle Certificazioni SSL EV “Barra Verde” (SSL Pulse, 2012)

Solo il 7,8(circa 15.000 dei quasi 200.000 domini oggetto di indagine online) risulta possedere un certificato SSL con barra verde, in grado di rispondere in concreto alle necessità di sicurezza sempre più percepite come reali da parte di chi vive giorno dopo giorno di commercio elettronico. E’ lecito attendersi una massiccia introduzione di questa tipologia di certificazioni SSL a partire dai prossimi mesi, anche per via della ferma intenzione delle più rinomate CA relativamente agli investimenti che verranno posti in essere in futuro per la sicurezza digitale.

Lascia un commento

Archiviato in Certificati SSL, EV/Extended Validation, SSL Pulse

SSL Pulse, La Sicurezza Del Web Ai Raggi X

Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.

 

L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.

 

Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.

 

Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.

 

Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.

 

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

 

Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.

 

Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.

 

Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:

 

  • verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.

  • analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.

  • combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.

 

Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.

 

In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).

 

In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.

 

Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!

1 Commento

Archiviato in Certificati SSL, Informazioni Generali, SSL Pulse