Archivi tag: certificato ssl google

Certificati SSL Di Google, In Arrivo La Transizione Da 1024 A 2048 Bit

Il più famoso motore di ricerca al mondo ha comunicato nei giorni scorsi l’intenzione di sostituire, all’interno dei vari siti che ne compongono il network mondiale, i certificati SSL emessi come CA dalla versione a 128 bit (CSR e Chiave Privata a 1024 bit) a quella a 256 bit (CSR e Chiave Privata a 2048 bit).

come-verificare-se-i-certificati-ssl-sono-a-1024-2048-bit

Considerati come necessari per la protezione di comunicazioni in entrata e in uscita da un sito web, i certificati SSL vengono oggi comunemente venduti con capacità di criptazione minima a 256 bit.

Google ha assicurato che la decisione di iniziare un processo di revisione dei certificati per la seconda metà del 2013 non è dovuta a situazioni di pericolo per la sicurezza dei suoi utenti, mettendo così a tacere i tentativi di speculazione che si erano immediatamente scatenati.

Questa modifica dovrebbe, quindi, tutelare la sicurezza di queste piattaforme fino al termine di questo secondo decennio, a patto che la tecnologia non metta in campo sistemi e tecniche in grado di rendere obsoleto questo valore.

2 commenti

Archiviato in Certificati SSL

Google Blocca I Certificati SSL Di TurkTrust

La notizia non appartiene alla categoria delle breaking news ma resta comunque molto interessante: negli scorsi giorni Google ha modificato, all’interno del codice del proprio browser di navigazione Chrome, i parametri di riconoscibilita’ attivi per i certificati SSL.

Non e’ la prima volta che accade qualcosa di questo tipo, ma nel caso dell’Autorita’ di Certificazione TurkTrust (i cui certificati digitali sono stati esclusi da quelli considerati attendibili non solo su Google Chrome, ma anche da parte degli altri principali browser di navigazione) la motivazione di questa scelta sta nella diffusione, da parte della societa’ turca, di certificazioni che riportavano tra le informazioni delle stesse il nome di Google.

Google Blocca I Certificati SSL Di TurkTrust

Google Blocca I Certificati SSL Di TurkTrust

La CA aveva giustificato l’accaduto parlando di una “grave svista” assolutamente non dolosa, ma questo non e’ servito a risolvere la situazione a proprio favore. Google, temendo (come ampiamente prevedibile) che questi certificati SSL potessero essere considerati attendibili dai navigatori, e’ entrata in scena comunicando la propria intenzione di rendere globalmente nota tale situazione, scegliendo di applicare una modifica al proprio browser Chrome e “sospendendo” la richiesta di inclusione della CA all’interno del gruppo di emittenti attendibili.

Google temeva, in particolare, che questi certificati SSL contraffatti potessero essere utilizzati per attacchi di phishing, con ingenti danni anche economici per chi si fosse sfortunatamente fidato di quanto riportato.

Simile approccio nei confronti di questa situazione e’ stato adottato anche dai produttori di Internet Explorer e Mozilla Firefox, che nei giorni a seguire hanno reso disponibili in Rete le patch atte a porre rimedio a quanto creato da TurkTrust.

La vicenda di TurkTrust dimostra, una volta di piu’, quanto sia necessario affidarsi a autorita’ certificanti conosciute e che detengano il certificato SSL subordinato (o intermedio) necessario per porre in essere certificati SSL in serie. Attraverso i certificati SSL intermedi, o root certificates, il detentore puo’ infatti  porre in essere certificazioni Secure Sockets Layer in serie per un numero potenzialmente illimitato di richiedenti.

Lascia un commento

Archiviato in Certificati SSL

Certificati SSL, Attenzione Alle Autorità Emittenti!

Acquistare un certificato SSL è molto semplice, e in Rete le offerte per proteggere il proprio dominio dagli attacchi dei pirati informatici sono numerose e, spesso, allo stesso modo convenienti. Se il livello di criptazione garantito è oggigiorno pari ad almeno 128 bit per qualsiasi soluzione, quello che contraddistingue una certificazione SSL da un’altra è l’autorità che provvede all’emissione.

Su internet sono pochi coloro che si soffermano su questo argomento, e quei pochi che lo fanno si limitano a dire che le certificazioni SSL offerte da questa o quella società online sono “sicure” ed “inespugnabili”. E’ facile competere sui prezzi e sulle caratteristiche aggiuntive, mentre è più impegnativo impostare il confronto su caratteristiche tecniche inconsapevolmente ignorate dagli acquirenti.

I certificati SSL si dividono, oltre che per marchio, caratteristiche aggiuntive e prezzi, anche in base all’autorità che si pone quale certificante la loro emissione. A questo scopo è necessario differenziare tra certificati SSL emessi da Autorità proprietarie di ogni suo singolo livello e certificazioni emesse da Società che pagano autorità di certificazione per emettere i propri certificati.

I fornitori di certificati SSL della prima tipologia, che hanno ottenuto il loro inserimento all’interno delle liste di garanzia (Trusted Root Libraries) dei più importanti browser di navigazione, si configurano come soggetti seri e dei quali “ci si può fidare ad occhi chiusi” all’atto della richiesta di una certificazione SSL.

Ecco come capire se un certificato SSL è emesso da un’Autorità di Certificazione riconosciuta dai motori di ricerca, se detiene gerarchicamente tutta la catena che lo costituisce, quindi se si tratta di una soluzione affidabile che merita di essere acquistata senza alcun dubbio; tale verifica è stata effettuata su Google Chrome, ma può essere comodamente condotta su qualsiasi tipologia di programma per la navigazione web:

1)   digitare l’indirizzo del sito web protetto da un certificato SSL, facendo precedere lo stesso dalla dicitura https://

 2)   cliccare sul simbolo del lucchetto di sicurezza (o sulla barra riportante il nome della Società certificata, come accade nel caso dei prodotti EV Extended Validation); apparirà una piccola finestra riportante informazioni relative al certificato SSL installato;

 3)   all’interno della prima mini-scheda cliccare sulle Informazioni Certificato; la finestra che si visualizzerà in centro pagina in alto riporterà tutti i dati relativi al certificato installato. Sarà così possibile notare qual è l’Autorità di Certificazione emittente e responsabile.

 

Ecco una schermata con la quale abbiamo verificato il certificato rilasciato a Google Italia.

Certificati SSL Chained, Come Verificare Su Google Chrome

Certificati SSL Chained, Come Verificare Su Google Chrome

Quasi superfluo dire che è assolutamente consigliato acquistare certificati SSL che vantano, come Autorità di Certificazione, una delle più conosciute e rispettate nel settore, come Symantec™, VeriSign®, GeoTrust®, Thawte®.

Lascia un commento

Archiviato in Certificati SSL, Informazioni Generali