Archivi tag: https

Sicurezza Siti Internet, 3 Modalità Per Verificarla

Il post di oggi è dedicato a tutti coloro i quali nel corso delle proprie sessioni sul web sono soliti porsi il dubbio se il sito che stanno visitando, o dal quale stanno acquistando, sia o meno protetto, e se il valore di protezione e le caratteristiche del certificato SSL siano tali da permettergli di “dormire sonni tranquilli”.

Ecco alcune immagini (relative a Google Chrome), relative al dominio italiano di Google, attraverso le quali desideriamo mostrarvi quanto è facile e immediato verificare le informazioni relative alla sicurezza di un sito web protetto da una certificazione digitale, nonché le informazioni che per ogni step potete ottenere:

PASSAGGIO 1: anteporre l’https:// al nome dominio che si intende visitare, e relativamente al quale si desidera controllare la sicurezza. In questo caso ciò che si visualizzerà sarà, in alternativa, una schermata rossa nel caso in cui il sito web non fosse protetto oppure, in caso di risposta positiva del server, la stessa pagina in questione (google.it) con il lucchetto verde di sicurezza. In caso di certificati SSL OV e EV, con verifica della Società titolare del dominio in questione effettuata prima dell’emissione del certificato stesso, al posto del lucchetto di cui sopra sarà possibile individuare un banner con il nome della Società detentrice.

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 2: cliccare sul lucchetto verde (o sul banner riportante il nome della Società titolare del dominio) per visualizzare alcune informazioni generali circa la caratura della certificazione SSL in questione. Le informazioni in questo caso ottenute saranno il nome dell’Autorità di Certificazione (CA) responsabile dell’emissione, il valore della crittografia espresso in bit (64, 128, 256, ecc.) e la tipologia di criptazione adoperata (SSL, TLS, ecc.).

Google.it Protetto Da Un Certificato SSL

Google.it Protetto Da Un Certificato SSL

PASSAGGIO 3: all’interno del primo pannello di informazioni relative alla certificazione SSL cliccare su Certificate Informations (la voce in questione si trova all’interno del primo box, NdA) per consultare un nuovo menu all’interno dei quali le informazioni tecniche relative alla protezione del dominio si fanno più precise e dettagliate. In questo passaggio viene dato spazio alla descrizione della “catena di certificazione” (Certificate Chain; è importante accertarsi che la stessa, dalla base al livello più alto, sia detenuta da una stessa società, al fine di evitare disastri passati della tipologia di Diginotar), all’Autorità Emittente e Certificante, alla data di decadenza del certificato SSL e la Società che detiene il dominio.

Certificazione SSL di Google.it, Scendiamo Nei Particolari...

Certificazione SSL di Google.it, Scendiamo Nei Particolari…

Lascia un commento

Archiviato in Catena Di Certificazione/Certificate Chain, Certificati SSL, EV/Extended Validation, HTTPS

OVH, Stop Alla Vendita Di Certificati SSL

OVH, la compagnia di web hosting francese operante a livello europeo, ha recentemente comunicato sulla Rete la dismissione del proprio servizio di sicurezza riservato ai clienti dell’area di hosting.

Conseguentemente a questa decisione OVH ha cessato immediatamente la vendita di nuovi certificati SSL, permettendo l’usufruizione di questo tipo di supporto per siti web solo a favore dei Clienti che in passato ne abbiano fatto esplicita richiesta. Non sarà, quindi, più possibile rinnovare i certificati SSL in scadenza dopo la fine di giugno 2012.

La scelta ha colto di sorpresa i numerosi clienti della sopracitata Società, che in passato avevano scelto il servizio OVH per consentire alla propria attività di e-commerce di sbarcare sulla Rete in condizioni di sicurezza credibilità per sé ed i propri Clienti.

Il team di Sicurezza Digitale ha contattato direttamente il Servizio Clienti di OVH (prima via e-mail, senza risposta, ed in seguito telefonicamente con ben altri risultati 🙂 ) per scoprire qualcosa di più su ciò che sta accadendo, e su quali possono essere le contromisure che gli utenti di OVH possono adottare per garantirsi un servizio elevato e di qualità.

L’operatore che ha risposto alle nostre domande ci ha confermato che la Società per la quale lavora non vende più questo tipo di prodotto; per quanto riguarda la sicurezza l’unico certificato sul quale l’utenza potrà contare sarà quello attualmente presente sul dominio ovh.it. Dato che, come affermato dal servizio di customer service, il certificato in questione non è una certificazione SSL Wildcard ma un semplice certificato digitale per la protezione della società, non è sinceramente molto chiaro quanto lo stesso possa essere utile per l’utenza di OVH…

Per diretta ammissione del medesimo operatore la Società è conscia del fatto che l’assenza di certificati SSL, all’interno del servizio in offerta, avrà ripercussioni su tutti coloro che necessitano di un servizio di hosting per l’e-commerce. Mi si consenta, questo è poco ma sicuro. La Rete è giornalmente presa di mira da attacchi hacker di ogni valenza e peso specifico, quindi sarebbe sinceramente da folli non optare per una sicurezza informatica minima per il dominio in questione (specialmente considerando i costi irrisori di alcune soluzioni in vendita sul web).

Una buona notizia: tutti coloro hanno scelto, e sceglieranno, OVH come partner del servizio di hosting, potranno comunque installare un certificato SSL a protezione delle comunicazioni e delle transazioni svolte sulla propria pagina online.

Permettetemi un’opinione personale, dettata da una non completa conoscenza della situazione particolare: la scelta di OVH di fare a meno di questo importante servizio di sicurezza denota un problema tipico di, purtroppo, molte Compagnie che vendono certificazioni SSL online. Chi non ha, come core business, la vendita di certificazioni digitali per la sicurezza di siti web spesso vede questa tipologia di servizio come dispendioso sia in termini di costi economici sia di tempo materiale per amministrare il tutto.

Non so, sinceramente, se queste siano le motivazioni del dietro-front di OVH su questa materia, ma quello che Sicurezza Digitale si sente di consigliare è di optare per l’acquisto di un certificato SSL da una Società dedita al 100% alla vendita di certificazioni SSL.

Lascia un commento

Archiviato in Certificati SSL, HTTPS, Recensioni, Sicurezza Connessioni

Da HTTP Ad HTTPS, Online Il Programma Per Il Reindirizzamento Automatico

Per esperienza personale mi è capitato spesso di incontrare miei clienti, che attraverso la mia società avevano scelto certificazioni SSL, lamentarsi spesso di non riuscire a visualizzare immediatamente la versione “protetta” (in HTTPS) del sito internet sul quale è installato un certificato SSL valido.

Solitamente, per poter visitare un dominio protetto da una certificazione digitale di questo tipo, il visitatore deve aggiungere, prima dell’indirizzo della pagina web in questione, la dicitura https://; in caso inverso ci si connetterà automaticamente a quella in http:// (non protetta).

Ciò accade, chiaramente, con tutti i domini sulla rete sui quali risulti essere presente un certificato SSL correttamente installato e funzionante.

Per ovviare a questo problema sul sito userscript.org è possibile scaricare gratuitamente uno script, con impostata una lista di maggiori siti per i quali è attivato il reindirizzamento automatico.

Visionando lo strumento offerto gratuitamente sul sito di cui sopra mi preme segnalare che la versione tutt’ora disponibile in Rete appare ancora all’inizio del suo sviluppo, avendo una limitatissima lista di siti internet per i quali si garantisce questo interessante servizio. Per quanto concerne la moltitudine di siti web non compresi in questo elenco colui il quale effettuerà il download dello script dovrà procedere all’inserimento manuale.

In definitiva, quindi, uno strumento interessante ma ancora da sviluppare. Il team di Sicurezza Digitale ne consiglia l’adozione, principalmente, a coloro i quali hanno una certa esperienza dal punto di vista tecnico informatico.

Lascia un commento

Archiviato in HTTPS, Recensioni

HTTPS E SSL, Il Tutorial Di Google – Video

Lascia un commento

Archiviato in Certificati SSL, HTTPS

Attacco Alla Logica Di Rinegoziazione SSL/TLS, Chi Ha Rimediato? I Dati Di SSL Pulse

Nel 2009 la logica di rinegoziazione del protocollo SSL/TLS ha subìto un attacco, perpetrato con un’azione di tipologia man-in-the-middle (MITM), che ha causato conseguenze notevoli alla criptazione dei dati sensibili e delle transazioni svolte online. Attraverso quest’attacco gli hackers hanno potuto trafugare indebitamente, prima che i maggiori venditori di browser potessero ideare ed attivare una relativa protezione, informazioni personali (nomi, cognomi, indirizzi, ecc.) e dati di pagamento/bancari che avrebbero chiaramente dovuto rimanere crittografati.

L’attacco informatico man-in-the-middle (MITM) vede un soggetto, l’hacker, introdursi furtivamente nel sistema impersonando la sua vittima ed estraendo, con l’inganno, dati confidenziali; tecnicamente questo genere di azione vede l’immissione di dati all’interno della connessione tra clientserver.

Man-In-The-Middle, Come Avviene L'Attacco

Man-In-The-Middle, Come Avviene L’Attacco

Quello appena descritto è ciò che 3 anni fa è accaduto con il cosiddetto renegotiation attack (CVE-2009-3555), nei confronti del quale tutti i produttori di browsers (su tutti Mozilla Firefox) hanno dovuto individuare strumenti in grado di restituire credibilità e sicurezza alle transazioni in Rete e all’uso delle certificazioni SSL.

Attacco Alla Rinegoziazione SSL/TLS, I Dati Dello Studio SSL Pulse

Secondo quanto apparso nella recente indagine condotta da Trustworthy Internet Movement, intitolata SSL Pulse e avente come soggetto di studio quasi 200.000 domini web tra i più importanti al mondo, il 72% (quasi 143.000 unità) dei siti internet è immune da un eventuale rischio di rinegoziazione, mentre permane un preoccupante 13,1% (circa 26.000) potrebbe avere, in caso di futuro attacco di questo tipo, seri problemi di sicurezza.

Diffusione di pericoli da "man-in-the-middle" sui principali siti web al mondo (fonte SSL Pulse, 2012)

Diffusione di pericoli da “man-in-the-middle” sui principali siti web al mondo (fonte SSL Pulse, 2012)

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse

Phish Or No Phish?, Scoprire Contraffazioni Online E’ Un Gioco Da Ragazzi!

VeriSign, su un proprio sito parallelo, ha sfidato i navigatori del web a scoprire qual’è, tra 2 pagine web apparentemente identiche e sicure, quella contraffatta e ingannevole.

Il gioco si intitola “Phish Or No Phish?” ed attraverso 10 quesiti testa la preparazione e l’attenzione del partecipante chiamato, di volta in volta, a individuare la pagina creata ad arte per rubare dati personali e bancari a chi, sfortunatamente, casca nel tranello.

phish-or-no-phish

"Phish, Or No Phish?"; Scopri Il Pericolo Phishing Con VeriSign

In alcuni casi l’inganno è facilmente smascherabile; come nel web reale anche in “Phish Or No Phish?” troviamo siti web con contenuti viziati da errori di battitura o di sintassi, altri che chiedono un’immediata azione pena la chiusura di un conto bancario o un’ammenda da pagare, fino ad alcuni che all’interno della propria barra d’indirizzo conducono lo sfortunato visitatore a pagine in Rete contraddistinte da IP numerici.

Dopo ogni risposta il team tecnico di VeriSign, indipendentemente dall’eventualità che la risposta fornita sia stata o meno corretta, spiega in maniera approfondita, attraverso un “fumetto”, dov’è l’inganno.

All’interno del “gioco” grande spazio è dedicato ai certificati SSL EV (Extended Validation, con la famosa “barra verde” o “blu” mostrata all’interno dei principali browser di navigazione web), descritti come la soluzione più valida per garantire il giusto grado di sicurezza online.

I certificati SSL Extended Validation rappresentano, in assoluto, l’evoluzione tecnica più completa degli ultimi anni, per quanto concerne la sicurezza digitale. I siti internet sui quali vengono installati i certificati SSL EV verranno mostrati, all’interno dei principali motori di ricerca, con una barra verde o blu evidenziante il dominio di riferimento.

L’acquisto di un certificato SSL EV è consigliato apertamente da parte delle più quotate autorità di certificazione presenti al mondo, e sono emesse da colossi della sicurezza online quali GeoTrust e VeriSign/Symantec.

1 Commento

Archiviato in Certificati SSL, Phishing & Malware