Archivi tag: certificato SSL

QuickSSL Premium, GeoTrust Fa Pagare I SANs Richiesti

GeoTrustcertification authority famosa in tutto il mondo e responsabile dell’emissione di alcuni tra i certificati SSL più adottati, ha deciso nelle ultime settimane di far pagare qualsiasi SAN (Subject Alternative Name, anche conosciuto come “sottodominio”) il Cliente decidesse di aggiungere alla propria richiesta.

Il certificato SSL in questione si era finora contraddistinto dalla concorrenza proprio per la sua capacità di riunire alcune particolarità fondamentali per il webmaster (crittazione delle comunicazioni da e verso i dispositivi mobili, possibilità di aggiungere sottodomini e emissione quasi immediata senza verifica dell’identità del richiedente) ad un prezzo molto basso.

La scelta di GeoTrust rende QuickSSL Premium, a nostro parere, meno conveniente e interessante, soprattutto per quei titolari di siti web che utilizzano le proprie pagine professionalmente (aziende di tutte le dimensioni, enti, ecc.).

QuickSSL-Premium-GeoTrust-Fa-Pagare-I-SANs-Richiesti

Facciamo un rapido calcolo, prendendo in esame l’offerta presente sul sito di Trustico, uno dei principali rivenditori di certificati SSL operante anche in Italia.

QuickSSL Premium è ora venduto, senza SANs, al prezzo annuale di 85,80€. Trustico, dato il cambiamento di condizioni di acquisto da GeoTrust, permette al Cliente di aggiungere fino a 4 SANs al costo aggiuntivo di 47,20€, portando il costo complessivo per un anno a €133,00; decisamente molto per un certificato SSL a “validazione del dominio“, non in grado di garantire alcuna verifica del titolare del dominio (abbiamo già discusso in passato di quanto questo requisito sia importante, soprattutto per l’e-commerce).

La situazione “migliora leggermente” in caso di ordini pluriennali: in questo caso il costo dei SANs va moltiplicato per tutti i vari anni considerati, ma come di consueto si registra un piccolo sconto sul costo complessivo.

Dato il prezzo totale al quale viene ora quotato GeoTrust QuickSSL Premium, siamo davvero sicuri che resti una soluzione di sicurezza informatica ancora valida e conveniente, o è forse il caso di spostarsi su certificati di “fascia superiore”, che garantiscono anche un livello differente di informazioni sul browser di navigazione?

Annunci

2 commenti

Archiviato in Certificati SSL

Google Blocca I Certificati SSL Di TurkTrust

La notizia non appartiene alla categoria delle breaking news ma resta comunque molto interessante: negli scorsi giorni Google ha modificato, all’interno del codice del proprio browser di navigazione Chrome, i parametri di riconoscibilita’ attivi per i certificati SSL.

Non e’ la prima volta che accade qualcosa di questo tipo, ma nel caso dell’Autorita’ di Certificazione TurkTrust (i cui certificati digitali sono stati esclusi da quelli considerati attendibili non solo su Google Chrome, ma anche da parte degli altri principali browser di navigazione) la motivazione di questa scelta sta nella diffusione, da parte della societa’ turca, di certificazioni che riportavano tra le informazioni delle stesse il nome di Google.

Google Blocca I Certificati SSL Di TurkTrust

Google Blocca I Certificati SSL Di TurkTrust

La CA aveva giustificato l’accaduto parlando di una “grave svista” assolutamente non dolosa, ma questo non e’ servito a risolvere la situazione a proprio favore. Google, temendo (come ampiamente prevedibile) che questi certificati SSL potessero essere considerati attendibili dai navigatori, e’ entrata in scena comunicando la propria intenzione di rendere globalmente nota tale situazione, scegliendo di applicare una modifica al proprio browser Chrome e “sospendendo” la richiesta di inclusione della CA all’interno del gruppo di emittenti attendibili.

Google temeva, in particolare, che questi certificati SSL contraffatti potessero essere utilizzati per attacchi di phishing, con ingenti danni anche economici per chi si fosse sfortunatamente fidato di quanto riportato.

Simile approccio nei confronti di questa situazione e’ stato adottato anche dai produttori di Internet Explorer e Mozilla Firefox, che nei giorni a seguire hanno reso disponibili in Rete le patch atte a porre rimedio a quanto creato da TurkTrust.

La vicenda di TurkTrust dimostra, una volta di piu’, quanto sia necessario affidarsi a autorita’ certificanti conosciute e che detengano il certificato SSL subordinato (o intermedio) necessario per porre in essere certificati SSL in serie. Attraverso i certificati SSL intermedi, o root certificates, il detentore puo’ infatti  porre in essere certificazioni Secure Sockets Layer in serie per un numero potenzialmente illimitato di richiedenti.

Lascia un commento

Archiviato in Certificati SSL

Certificati SSL Installati Ma Non Riconosciuti

Torniamo a parlare, dopo diverso tempo, della sicurezza informatica sotto forma di certificati SSL. Nel post di oggi desideriamo chiarire uno dei più comuni problemi che, spesso, spaventano coloro i quali acquistano ed installano un certificato SSL su un server, allo scopo di proteggere le comunicazioni effettuate attraverso il proprio sito web: la mancata installazione del CA Intermedio, dimenticanza o leggerezza spesso commessa considerando lo stesso non indispensabile alla protezione desiderata.

All’acquisto di un certificato SSL, dopo aver predisposto sul nostro server il CSR (Certificate Signing Request) e la Chiave Privata (Private Key) a 2048 bit, riceveremo 2 tipologie di certificati diversi, entrambi da inserire sul nostro server insieme alla Chiave Privata precedentemente generata: il certificato SSL e il certificato SSL cosiddetto intermedio. Mentre il certificato SSL “definitivo” fornisce lo strumento criptante la trasmissione dei dati effettuata da un client ed il server di riferimento (la Chiave Privata servirà, per l’appunto, a decifrare quanto celato; per questo motivo è da conservare con particolare cura all’interno del server e rappresenta indubbiamente il blocco di caratteri più delicato tra i 3), il certificato SSL CA Intermedio (Intermediate Certificate) o CA root firma le richieste delle CA root “inferiori”, generanti specificatamente la certificazione SSL che andiamo ad installare.

Il certificato SSL intermedio rappresenta, quindi, la radice di qualsiasi certificato SSL. In caso di inaffidabilità della CA root tutti gli SSL da essa derivanti risulteranno pericolosi ed in grado di poter essere attaccati. I certificati SSL intermedi, una volta installati all’interno del server, comunicano al browser che li riconosce come attendibili che il certificato da essa firmato è sicuro, evitando al visitatore di turno di visualizzare (su Mozilla Firefox) la schermata d’errore di cui sotto.

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

Esempio Di Certificato SSL Non Riconosciuto Su Mozilla Firefox

In caso di installazione di un certificato SSL è sempre consigliabile aggiungere il certificato SSL intermedio; in questo caso il risultato ottenuto sarà certamente positivo e potrà essere verificato, in caso di certificati SSL emessi da RapidSSL, GeoTrust, Thawte, VeriSign e Symantec, accedendo agli strumenti di GeoTrust o di GeoCerts.

1 Commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, CSR/Certificate Signing Authority, HTTPS, Installare Certificati SSL, Sicurezza Connessioni

Certificati SSL GeoTrust, Uno Sguardo A Qualità Ed Affidabilità

GeoTrust, nel settore della certificazione digitale dei dati e delle comunicazioni online, viene universalmente considerato il marchio ideale per coloro i quale desiderino rispondere ai bisogni di sicurezza informatica, ma che allo stesso tempo non possano permettersi di  spendere somme esorbitanti.

Il noto marchio californiano, difatti, offre al mercato digitale certificazioni SSL di alto livello (a volte, come nel caso di True BusinessID + EV, con la ben nota e ricercata barra verde di sicurezza) diverse alternative per porre il proprio sito web o server  di posta elettronica sicuro da eventuali attacchi informatici, giorno dopo giorno sempre più delicati e particolari.

Certificati SSL GeoTrust, Crittazione Sicura E A Buon Mercato

Certificati SSL GeoTrust, Crittazione Sicura E A Buon Mercato

Diamo uno sguardo, brevemente, alla tipologia di certificati Secure Socket Layer più diffusi in Rete e contraddistinti dal marchio GeoTrust:

  • QuickSSL Basic: certificato SSL che permette crittazioni a 256 bit, estremamente sicuro ed emesso in maniera istantanea attraverso un controllo via posta elettronica (Domain Validation, DV). Questa tipologia di prodotto non consente l’accesso sicuro da smartphonetelefoni cellulari, tablets, ecc.
  • QuickSSL Premium: certificato SSL a 256 bit, anch’esso prodotto ed inviato dopo una breve e semplice verifica via posta elettronica (Domain Validation, DV). Adatto per proteggere connessioni che nascono da dispositivi mobili, il certificato digitale in questione consente di aggiungere in maniera gratuita sino a 3 server aggiuntivi (SANs), sottodomini di primo livello facenti riferimento al nome dominio per il quale viene emessa la soluzione.
  • True BusinessID: certificato SSL che consente di criptare i dati fino a 256 bit, adatto a connessioni effettuate attraverso dispositivi mobili (cellulari, ecc.). L’emissione del certificato, in questo caso, prevede una verifica da parte dell’Autorità di Certificazione (GeoTrust stessa) in merito alla Società titolare del dominio per il quale il prodotto è stato richiesto.

  • True BusinessID Wildcard: certificato SSL opportuno per tutti quei gestori di siti internet che desiderino proteggere il sito internet e tutti i sottodomini di primo livello che ad esso fanno riferimento. Un certificato SSL Wildcard, se emesso per *.domino.it, consente di proteggere tutti i sottodomini di dominio.it, quali ad esempio server1.domino.it, server2.dominio.it e via dicendo. La soluzione è particolarmente indicata, inoltre, per coloro i quali intendono proteggere server di posta elettronica (webmail) e per chi prevede il sito internet venga visitato attraverso connessioni con dispositivi mobili. Infine, il prodotto prevede un’ampia verifica per tutto ciò che concerne il dominio e la Società che lo possiede.

  • True BusinessID + EV: certificato SSL di categoria Extended Validation (EV), per l’emissione del quale si prevede un processo di verifica ancora più lungo e particolare di quello previsto per gli altri certificati True  BusinessID sopra citati. La particolarità di questa certificazione è data dalla presenza della cosiddetta barra verde (“green bar”), che permette alla barra d’indirizzo di assumere una particolare colorazione verde (o blu, dipendentemente dal browser che si utilizza per navigare). Il certificato SSL True BusinessID + EV consente di proteggere le connessioni anche allorquando avvengano da parte di dispositivi mobili.

In definitiva GeoTrust rappresenta una valida alternativa a “buon mercato” per praticamente l’intero spettro di bisogni di tutela che un gestore di un sito internet e/o che una società di e-commerce possa avere. Sicurezza Digitale consiglia, comunque, di verificare con il proprio rivenditore di certificati SSL la tempistica di emissione prevista in maniera tale da evitare di trovarsi di fronte a situazioni spiacevoli ed attese tendenti a protrarsi nel tempo.

Lascia un commento

Archiviato in Certificati SSL, E-Commerce, Recensioni

CSR, Cos’è E Come Generarlo

Con il termine CSR (Certificate Signing Request) si intende la richiesta di emissione di una certificazione digitale posta in essere da un server sul quale si intende installare il certificato SSL stesso.

Il CSR è costituito da un blocco unico di caratteri alfanumerici, ad occhio umano incomprensibile, ma che stabilisce univocamente la natura del server ospitante il sito web e indica i particolari che lo costuiscono; vediamo più approfonditamente quali sono le informazioni da inserire per generare un CSR:

  • Codice Paese: si tratta del codice che permette di identificare lo Stato dal quale proviene la richiesta, quindi quello all’interno del quale è presente il server che esprime la richiesta (es. IT);
  • Stato/Provincia: si scende più in dettaglio relativamente alla posizione geografica del server in oggetto (es. Piemonte);
  • Città: si veda la descrizione vista sopra. In questa occasione si citerà la città che ospita il server (es. Torino);
  • Azienda: indicare con precisione il nome della Società che detiene il dominio (es. Sicurezza Digitale);
  • Divisione Aziendale: molto spesso si tratta di un valore generico relativo al gruppo di soggetti che opera abitualmente in ambito informatico all’interno dell’Azienda di cui sopra (es. Security Department);
  • Nome Dominio: si includa il nome dominio completo (Fully Qualified Domain Name, FQDN) per il quale si richiede l’emissione della certificato SSL (es. sicurezza-digitale.com). Si ricordi che, in caso di ordini per certificati SSL Wildcard, il nome del dominio da indicarsi in questo spazio dovrà essere modificato sostituendo al “www” il simbolo dell’asterisco, ad esempio *.sicurezza-domino.com.

Vi sono diversi servizi e provider di certificazioni SSL che permettono la creazione del CSR durante il processo d’ordine, in maniera del tutto gratuita.

Per motivi di sicurezza le Autorità di Certificazione (Certificate Authority, CA) consigliano la produzione di un CSR diverso per ogni emissione di una certificazione digitale e, allo stesso modo, la produzione di un Certificate Signing Request a 2048 bit, livello considerato indispensabile per garantire la sicurezza del certificato SSL che verrà creato ed installato sul server.

Lascia un commento

Archiviato in Certificati SSL, CSR/Certificate Signing Authority, Informazioni Generali

Come E Perché Richiedere Certificati SSL Gratis

Il team di Sicurezza Digitale dedica, dalla propria nascita, gran parte della propria produzione al tema della sicurezza della connessioni e della transazioni che avvengono online.

Alcuni di noi, come consulenti nel campo, hanno una discreta esperienza in tutto ciò che riguarda l’implementazione di un certificato SSL sulle piattaforme server, e molto spesso coloro i quali decidono di affidarsi ai nostri servizi per proteggere il proprio sito web temono, per esperienza indiretta (solitamente qualcosa capitato a propri concorrenti, clienti, partners), sono riluttanti ad acquistare un certificato SSL per via di dubbi sulla compatibilità con il proprio sistema e sulla difficoltà di installazione da parte del proprio team tecnico.

L’installazione dei codici che attivano la criptazione SSL è, effettivamente, qualcosa di abbastanza complicato, soprattutto se non si sa perfettamente come operare. I server in commercio sono dei più diversi, ciascuno richiedente una modalità d’interazione diversa, a partire dal semplice inserimento delle stringhe di caratteri che determinano la sicurezza in Secure Socket Layer (Chiave Privata/Private Key, CSR/Certificate Signing Request, Certificato SSL Intermedio/CA Root Certificate, Certificato SSL).

Come E Perché Richiedere Certificati SSL Gratis

Come E Perché Richiedere Certificati SSL Gratis

Come in molte situazioni della vita di tutti i giorni l’esperienza aiuta a muoversi meglio e con più sicurezza. La risposta che ci sentiamo di dare, a tutti coloro che entrino in contatto per la prima volta con questa tematica, è quella di provare un certificato SSL gratuito.

I certificati SSL gratis, anche detti “di prova”, hanno solitamente le medesime caratteristiche tecniche  di quelli “di produzione” (o “definitivi”), tranne per la durata limitata che garantiscono, sufficiente comunque a effettuare tutti i test del caso.

Richiedere un certificato SSL “di prova” permette di testare, solitamente per 30 giorni, non solo la procedura d’installazione valida per il  server che si adopera, ma anche ovviamente i benefici tecnici e commerciali determinati dalla presenza di un codice di criptazione attivo sulle pagine in Rete.

Lascia un commento

Archiviato in Certificati SSL, Certificati SSL Gratis

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS