Archivi tag: Certification Authority

Google Blocca I Certificati SSL Di TurkTrust

La notizia non appartiene alla categoria delle breaking news ma resta comunque molto interessante: negli scorsi giorni Google ha modificato, all’interno del codice del proprio browser di navigazione Chrome, i parametri di riconoscibilita’ attivi per i certificati SSL.

Non e’ la prima volta che accade qualcosa di questo tipo, ma nel caso dell’Autorita’ di Certificazione TurkTrust (i cui certificati digitali sono stati esclusi da quelli considerati attendibili non solo su Google Chrome, ma anche da parte degli altri principali browser di navigazione) la motivazione di questa scelta sta nella diffusione, da parte della societa’ turca, di certificazioni che riportavano tra le informazioni delle stesse il nome di Google.

Google Blocca I Certificati SSL Di TurkTrust

Google Blocca I Certificati SSL Di TurkTrust

La CA aveva giustificato l’accaduto parlando di una “grave svista” assolutamente non dolosa, ma questo non e’ servito a risolvere la situazione a proprio favore. Google, temendo (come ampiamente prevedibile) che questi certificati SSL potessero essere considerati attendibili dai navigatori, e’ entrata in scena comunicando la propria intenzione di rendere globalmente nota tale situazione, scegliendo di applicare una modifica al proprio browser Chrome e “sospendendo” la richiesta di inclusione della CA all’interno del gruppo di emittenti attendibili.

Google temeva, in particolare, che questi certificati SSL contraffatti potessero essere utilizzati per attacchi di phishing, con ingenti danni anche economici per chi si fosse sfortunatamente fidato di quanto riportato.

Simile approccio nei confronti di questa situazione e’ stato adottato anche dai produttori di Internet Explorer e Mozilla Firefox, che nei giorni a seguire hanno reso disponibili in Rete le patch atte a porre rimedio a quanto creato da TurkTrust.

La vicenda di TurkTrust dimostra, una volta di piu’, quanto sia necessario affidarsi a autorita’ certificanti conosciute e che detengano il certificato SSL subordinato (o intermedio) necessario per porre in essere certificati SSL in serie. Attraverso i certificati SSL intermedi, o root certificates, il detentore puo’ infatti  porre in essere certificazioni Secure Sockets Layer in serie per un numero potenzialmente illimitato di richiedenti.

Annunci

Lascia un commento

Archiviato in Certificati SSL

CSR, Cos’è E Come Generarlo

Con il termine CSR (Certificate Signing Request) si intende la richiesta di emissione di una certificazione digitale posta in essere da un server sul quale si intende installare il certificato SSL stesso.

Il CSR è costituito da un blocco unico di caratteri alfanumerici, ad occhio umano incomprensibile, ma che stabilisce univocamente la natura del server ospitante il sito web e indica i particolari che lo costuiscono; vediamo più approfonditamente quali sono le informazioni da inserire per generare un CSR:

  • Codice Paese: si tratta del codice che permette di identificare lo Stato dal quale proviene la richiesta, quindi quello all’interno del quale è presente il server che esprime la richiesta (es. IT);
  • Stato/Provincia: si scende più in dettaglio relativamente alla posizione geografica del server in oggetto (es. Piemonte);
  • Città: si veda la descrizione vista sopra. In questa occasione si citerà la città che ospita il server (es. Torino);
  • Azienda: indicare con precisione il nome della Società che detiene il dominio (es. Sicurezza Digitale);
  • Divisione Aziendale: molto spesso si tratta di un valore generico relativo al gruppo di soggetti che opera abitualmente in ambito informatico all’interno dell’Azienda di cui sopra (es. Security Department);
  • Nome Dominio: si includa il nome dominio completo (Fully Qualified Domain Name, FQDN) per il quale si richiede l’emissione della certificato SSL (es. sicurezza-digitale.com). Si ricordi che, in caso di ordini per certificati SSL Wildcard, il nome del dominio da indicarsi in questo spazio dovrà essere modificato sostituendo al “www” il simbolo dell’asterisco, ad esempio *.sicurezza-domino.com.

Vi sono diversi servizi e provider di certificazioni SSL che permettono la creazione del CSR durante il processo d’ordine, in maniera del tutto gratuita.

Per motivi di sicurezza le Autorità di Certificazione (Certificate Authority, CA) consigliano la produzione di un CSR diverso per ogni emissione di una certificazione digitale e, allo stesso modo, la produzione di un Certificate Signing Request a 2048 bit, livello considerato indispensabile per garantire la sicurezza del certificato SSL che verrà creato ed installato sul server.

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS